| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.09.2010, 02:07
| #1 |
 |  20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? Hallo, ich bin neu im Forum und hoffe, dass auch mir bei der Lösung meines Problems geholfen werden kann. Seit heute habe ich beim Online-Banking eine Aufforderung, dass ich 20 Tans eingeben soll. Ich habe meine Bank kontaktiert, welche mir sagte, dass es sich bei dieser Abfrage um einen Trojaner handeln würde. Weil mir meine Bank jedoch nicht weitergeholfen hat, habe ich google benutzt und bin auf euer Forum aufmerksam geworden. In einem bisherigen Beitrag hatte jemand ein ähnliches Problem, welche mit eurer Hilfe gelöst werden konnte. Ich habe mich jedoch nicht getraut das ComboFix zu nutzen, weil ich Angst habe damit etwas falsch zu machen. Vielleicht köntet Ihr mit freundlicherweise helfen. Vielen Dank für die Mühe und eine gute Nacht!;-) Stabilo ------------------------------------------- Ich habe die Tools geladen und bin der Anleitung gefolgt. Logfiles von Malware (Quickscan): Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
10.09.2010 02:03:27
mbam-log-2010-09-10 (02-03-27).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144368
Laufzeit: 1 Stunde(n), 33 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 02:32 on 10/09/2010 (Administrator)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:AlcoholAutomount -> Removed
Checking for services/drivers...
Unable to read dwamqkuj.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)
-=E.O.F=-
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-10 02:42:10
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT BA758AA3 ZwDeleteKey
SSDT BA758AAD ZwDeleteValueKey
SSDT BA758AB2 ZwLoadKey
SSDT BA758ABC ZwReplaceKey
SSDT BA758AB7 ZwRestoreKey
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\dwamqkuj.sys Ein an das System angeschlossenes Gerät funktioniert nicht. !
PAGE Ntfs.sys B9D97E55 4 Bytes CALL 89D796D1
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB77B5000, 0x1A0D8E, 0xE8000020]
.text C:\WINDOWS\system32\drivers\ACEDRV06.sys section is writeable [0xA482F000, 0x319AA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV06.sys entry point in ".pklstb" section [0xA4872000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV06.sys unknown last section [0xA488D000, 0x8E, 0x42000040]
.reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xA45B1600, 0x25B0C, 0xE0000060]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[612] ntdll.dll!NtQueryDirectoryFile + 6 7C91D756 4 Bytes [90, 61, FC, 00]
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89D10200
Device \Driver\Tcpip \Device\Ip 89884A80
Device \Driver\Tcpip \Device\Tcp 89884A80
Device \Driver\Tcpip \Device\Udp 89884A80
Device \Driver\Tcpip \Device\RawIp 89884A80
Device \Driver\Tcpip \Device\IPMULTICAST 89884A80
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] dwamqkuj <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x73 0x61 0xCF 0x9E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x73 0x61 0xCF 0x9E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
---- EOF - GMER 1.0.15 ----
OTL.txt: OTL Logfile: Code:
ATTFilter OTL logfile created on: 10.09.2010 02:48:59 - Run 4 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 77,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 169,50 Gb Free Space | 72,79% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: **** Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Minimal Quick Scan ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\monmvr32.exe () PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\mobstify.dll () MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.dll (Adobe Systems, Inc.) MOD - C:\WINDOWS\system32\AcSignIcon.dll (Autodesk, Inc.) MOD - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll (Autodesk) MOD - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll (Autodesk, Inc.) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\mfc90u.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e\msvcr90.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e\msvcp90.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_15fc9313\mfc90deu.dll (Microsoft Corporation) MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU () MOD - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) MOD - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll (STLport Consulting, Inc.) MOD - C:\WINDOWS\system32\xpsp2res.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\GdiPlus.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\opengl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\ddraw.dll (Microsoft Corporation) MOD - C:\WINDOWS\ipadibot.dll () MOD - C:\WINDOWS\system32\glu32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\system32\dciman32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe File not found SRV - (DBService) -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG) SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Autodesk Licensing Service) -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe (Autodesk) SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) ========== Driver Services (SafeList) ========== DRV - (adfs) -- C:\WINDOWS\System32\drivers\adfs.sys (Adobe Systems, Inc.) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.) DRV - (ACEDRV06) -- C:\WINDOWS\system32\drivers\ACEDRV06.sys (Protect Software GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (truecrypt) -- C:\WINDOWS\System32\drivers\truecrypt.sys (TrueCrypt Foundation) DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (cdrbsdrv) -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS (B.H.A Corporation) DRV - (SilverLink) Texas Instruments SilverLink (USB GraphLink) -- C:\WINDOWS\system32\drivers\SilvrLnk.sys (Texas Instruments Incorporated) DRV - (BrPar) -- C:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.) IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultthis.engineName: "netzradio-germania Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "netzradio-germania Customized Web Search" FF - prefs.js..browser.startup.homepage: "hxxp://ebay.de" FF - prefs.js..extensions.enabledItems: YoutubeDownloader@PeterOlayev.com:1.5 FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.4 FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledItems: {B17C1C5A-04B1-11DB-9804-B622A1EF5492}:1.2.1 FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7 FF - prefs.js..extensions.enabledItems: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a}:1.33 FF - prefs.js..extensions.enabledItems: {2C526EA5-B024-4E23-9DF8-0D274CB4FA95}:1.9.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\software\mozilla\Firefox\Extensions\\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95} [2010.09.09 14:48:25 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.10 00:11:05 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.10 00:11:04 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.09 19:03:03 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.09.09 18:10:06 | 000,000,000 | ---D | M] [2010.01.24 22:55:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.01.24 22:55:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.09.09 22:11:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions [2010.09.09 17:26:01 | 000,000,000 | ---D | M] (Password Exporter) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492} [2010.07.31 10:16:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a} [2010.07.27 01:28:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\firebug@software.joehewitt.com [2009.03.25 05:09:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com [2010.07.27 01:29:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\youtube2mp3@mondayx.de [2010.08.07 19:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\YoutubeDownloader@PeterOlayev.com [2009.06.27 22:01:08 | 000,000,898 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\searchplugins\conduit.xml [2010.09.09 22:11:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.09.09 17:27:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2009.07.29 15:40:04 | 000,605,184 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\beanspruchung.dll [2009.07.24 14:40:42 | 000,025,600 | ---- | M] (Inprise Corporation) -- C:\Programme\Mozilla Firefox\plugins\borlndmm.dll [2009.07.24 14:40:44 | 001,500,160 | ---- | M] (Borland Corporation) -- C:\Programme\Mozilla Firefox\plugins\cc3260mt.dll [2009.07.29 15:39:44 | 000,713,216 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\gemeinden_italy.dll [2009.07.29 15:38:02 | 001,982,464 | ---- | M] (SYSCON-Informatik GmbH) -- C:\Programme\Mozilla Firefox\plugins\mdview3d.dll [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2008.02.22 17:24:06 | 000,095,832 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll [2009.07.30 13:24:28 | 001,503,232 | ---- | M] (SYSCON INFORMATIK GmbH) -- C:\Programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll [2009.07.24 14:42:02 | 000,288,256 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\scprint_bc.dll [2009.07.24 14:42:00 | 000,101,376 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\sctbcolordlg_bc.dll [2009.07.29 15:38:58 | 003,534,336 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\scviewer.dll [2009.07.24 14:40:44 | 000,618,496 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\stlpmt45.dll [2010.06.25 22:34:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.06.25 22:34:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.06.25 22:34:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.06.25 22:34:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.06.25 22:34:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.03.16 07:48:59 | 000,000,853 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 activate.adobe.com O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O3 - HKLM\..\Toolbar: (no name) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Dmefilakiza] C:\WINDOWS\ipadibot.DLL () O4 - HKLM..\Run: [DriverCD] D:\Run.exe File not found O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe () O4 - HKCU..\Run: [TrueCrypt] C:\Programme\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation) O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\monmvr32.exe () O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Pidgin.lnk = C:\Programme\Pidgin\pidgin.exe (The Pidgin developer community) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowLegacyWebView = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowUnhashedWebView = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll () O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.05.06 19:22:35 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ] O32 - AutoRun File - [2009.03.07 13:15:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{eb6b3f2c-989c-11de-90f7-001fd0d4585b}\Shell - "" = AutoRun O33 - MountPoints2\{eb6b3f2c-989c-11de-90f7-001fd0d4585b}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: nsloager - (C:\WINDOWS\mobstify.dll) - C:\WINDOWS\mobstify.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 0 Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation) Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: msacm.ac3acm - C:\WINDOWS\System32\AC3ACM.acm (fccHandler) Drivers32: msacm.alf2cd - C:\WINDOWS\System32\alf2cd.acm (NCT Company) Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation) Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation) Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation) Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation) Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation) Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation) Drivers32: msacm.scg726 - C:\WINDOWS\System32\Scg726.acm (SHARP Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: msacm.voxacm160 - C:\WINDOWS\System32\vct3216.acm (Voxware, Inc.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\divx.dll (DivXNetworks, Inc.) Drivers32: vidc.dvsd - C:\WINDOWS\System32\mcdvd_32.dll (MainConcept) Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.dll (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation) Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation) Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: VIDC.MJPG - C:\WINDOWS\System32\Pvmjpg21.dll (Pegasus Imaging Corporation) Drivers32: vidc.mp42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: vidc.mp43 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: vidc.mpg4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation) Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation) Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.xvid - C:\WINDOWS\System32\xvidvfw.dll () Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation) Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (15776209447157760) ========== Files/Folders - Created Within 90 Days ========== [2010.09.10 00:13:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.09.10 00:12:51 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2010.09.10 00:11:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer [2010.09.10 00:06:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\MFTools [2010.09.09 23:32:50 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.09.09 18:17:42 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.09.09 17:29:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.09.09 17:29:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.09 17:29:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.09 17:29:04 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.09 17:29:04 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.09 17:27:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.09.09 17:27:35 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.09.09 17:01:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira [2010.09.09 15:05:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular [2010.09.09 15:05:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2010.09.09 15:04:36 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular [2010.09.09 14:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95} [2010.09.04 00:44:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2010.09.03 20:16:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.09.03 20:13:11 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.09.03 20:13:10 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.09.03 20:13:10 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.09.03 20:13:10 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.09.03 20:13:10 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.09.03 20:13:10 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.09.03 20:13:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.08.24 19:57:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Literatur Weitkemper [2010.08.24 18:26:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon [2010.08.24 16:05:45 | 000,000,000 | ---D | C] -- C:\Programme\Canon [2010.08.24 16:01:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\A4W_DATA [2010.08.24 15:59:58 | 000,299,520 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\Uninsop9.exe [2010.08.24 15:59:58 | 000,097,280 | ---- | C] (Caere Corporation) -- C:\WINDOWS\System32\opshel32.dll [2010.08.24 15:59:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\Pixtran [2010.08.24 15:59:55 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Caere [2010.08.24 15:59:53 | 000,000,000 | ---D | C] -- C:\Programme\Caere [2010.08.24 15:59:31 | 000,299,520 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\uninst.exe [2010.08.24 15:59:13 | 000,212,480 | ---- | C] (Eastman Kodak) -- C:\WINDOWS\PCDLIB32.DLL [2010.08.24 15:59:04 | 000,000,000 | ---D | C] -- C:\Programme\ArcSoft [2010.08.24 15:35:16 | 000,318,976 | ---- | C] (Canon) -- C:\WINDOWS\System32\UCS32P.DLL [2010.08.22 15:27:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Turbo Lister [2010.08.22 15:24:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\ebay [2010.08.22 15:08:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\DCIM [2010.08.07 18:21:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Stream Catcher [2010.08.07 18:20:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads [2010.08.07 18:20:08 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc Driver Installer [2010.08.07 18:20:08 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc [2010.08.07 18:19:55 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Components [2010.08.07 18:19:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared [2010.08.07 18:19:45 | 000,000,000 | ---D | C] -- C:\Programme\DATA BECKER [2010.08.07 18:13:36 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2 [2010.08.07 18:12:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage [2010.08.07 14:59:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper [2010.08.07 14:59:41 | 000,000,000 | ---D | C] -- C:\Programme\Streamripper [2010.08.07 03:31:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProgSense [2010.08.07 03:31:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GrabPro [2010.08.07 03:31:11 | 000,000,000 | ---D | C] -- C:\downloads [2010.08.07 03:31:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit [2010.08.04 20:46:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\YoudaGames [2010.08.04 20:46:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.08.04 19:53:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs [2010.08.04 17:20:23 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.04 17:15:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data [2010.08.04 17:15:48 | 000,000,000 | ---D | C] -- C:\Programme\Conduit [2010.08.04 17:15:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Conduit [2010.08.04 16:56:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue [2010.08.04 13:42:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.08.04 11:27:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ForceField Shared Files [2010.08.04 11:27:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint [2010.08.02 16:45:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\.narya [2010.08.02 16:38:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Application Data [2010.08.01 17:44:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads [2010.07.26 00:32:21 | 000,000,000 | ---D | C] -- C:\Programme\Animake [2010.07.26 00:32:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\animake [2010.07.26 00:04:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\WINDOWS [2010.07.17 12:39:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\bautoff [2010.06.26 11:28:09 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2010.06.25 17:00:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet [2010.06.25 17:00:11 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\XpressUpdate [2010.06.25 17:00:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PixelPlanet [2010.06.25 16:59:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations [2010.06.24 21:21:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory [2010.06.24 21:19:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\SpellEx [2010.06.24 21:18:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\URTTEMP [2010.06.24 19:01:18 | 000,021,456 | ---- | C] (Texas Instruments Incorporated) -- C:\WINDOWS\System32\drivers\SilvrLnk.sys [2010.06.24 19:01:03 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\TI Shared [2010.06.24 19:01:03 | 000,000,000 | ---D | C] -- C:\Programme\TI Education [2010.06.24 19:01:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\MyTIData [2010.06.24 19:00:15 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard ========== Files - Modified Within 90 Days ========== [2010.09.10 02:50:36 | 000,585,504 | ---- | M] () -- C:\WINDOWS\System32\drivers\dwamqkuj.sys [2010.09.10 02:45:56 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk [2010.09.10 02:45:39 | 000,000,360 | ---- | M] () -- C:\WINDOWS\tasks\WinMaximizer-Administrator-Startup.job [2010.09.10 02:45:13 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.10 02:45:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.10 02:45:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.10 02:35:24 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Jludili.dat [2010.09.10 02:33:22 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat [2010.09.10 02:33:22 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.09.10 02:33:01 | 000,000,182 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2010.09.10 02:04:12 | 000,015,396 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\trojaner forum.odt [2010.09.10 00:12:52 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk [2010.09.10 00:12:52 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk [2010.09.10 00:09:15 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Kxajuwone.bin [2010.09.10 00:06:29 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\defogger.exe [2010.09.10 00:06:28 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip [2010.09.10 00:05:57 | 000,388,197 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Load.exe [2010.09.09 23:32:53 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.09.09 23:24:09 | 006,951,172 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.09.09 23:19:21 | 000,002,447 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk [2010.09.09 21:33:10 | 003,841,108 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe [2010.09.09 21:11:05 | 000,489,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.09.09 21:09:43 | 003,002,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.09.09 18:09:25 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\mobstify.dll [2010.09.09 18:09:22 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\apiqfw.dat [2010.09.09 17:29:09 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.09 15:34:56 | 000,004,022 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer2.elfo [2010.09.09 15:34:07 | 000,030,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.pdf [2010.09.09 15:32:48 | 000,044,702 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.elfo [2010.09.09 15:05:13 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2010.09.09 14:46:41 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\mobstify.dll [2010.09.08 22:24:31 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\VPN Client.lnk [2010.09.08 22:05:07 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2010.09.08 18:18:28 | 000,011,390 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mischkreuzverfahren.odt [2010.09.08 18:18:08 | 000,035,357 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mischkreuzverfahren.pdf [2010.09.08 17:44:32 | 038,372,518 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\flugblatt_dina6_8seiten.psd [2010.09.07 17:41:55 | 000,654,570 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\75817_probe.pdf [2010.09.07 01:52:08 | 000,730,102 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\statistik.bmp [2010.09.05 22:24:57 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winscp.rnd [2010.09.02 18:46:31 | 002,491,416 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Hindenburgs Ansprache an die deutsche Jugend 01.05.1933.FLV [2010.08.31 13:00:11 | 000,000,097 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMediaPlayer.m3u [2010.08.31 10:54:57 | 000,014,543 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\zeugnis noten.ods [2010.08.29 20:30:18 | 000,032,716 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\0001.kdb [2010.08.24 18:22:13 | 000,000,022 | ---- | M] () -- C:\WINDOWS\OP70.INI [2010.08.24 16:22:52 | 000,001,075 | ---- | M] () -- C:\WINDOWS\pstudio.ini [2010.08.24 16:22:52 | 000,000,028 | ---- | M] () -- C:\WINDOWS\album.ini [2010.08.24 16:21:27 | 000,000,010 | R--- | M] () -- C:\WINDOWS\PSTUDIO.SN [2010.08.24 16:01:00 | 000,000,035 | ---- | M] () -- C:\WINDOWS\A4W.INI [2010.08.24 16:00:47 | 000,000,572 | ---- | M] () -- C:\WINDOWS\maxlink.ini [2010.08.19 21:25:55 | 000,086,067 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\599-013.jpg [2010.08.19 16:17:24 | 029,482,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\setupDE82.exe [2010.08.18 22:48:04 | 000,033,280 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.07 18:22:54 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb [2010.08.07 18:22:54 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb [2010.08.07 18:19:47 | 000,002,151 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Stream Catcher 2 FREE.lnk [2010.08.07 18:13:41 | 000,000,528 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.05 22:35:59 | 000,186,742 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-5.jpg [2010.08.05 22:35:55 | 000,142,311 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-4.jpg [2010.08.05 22:35:51 | 000,162,193 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-3.jpg [2010.08.05 22:35:46 | 000,187,289 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-2.jpg [2010.08.05 22:35:41 | 000,225,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-1.jpg [2010.08.04 19:50:21 | 000,000,264 | ---- | M] () -- C:\WINDOWS\System.ini [2010.08.04 19:50:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2010.08.04 19:27:47 | 000,000,469 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI [2010.08.04 17:20:24 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\CCleaner.lnk [2010.07.28 21:30:41 | 000,076,256 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\terasse.dwg [2010.07.15 21:09:25 | 000,015,673 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\newtonsches näherungs.odt [2010.06.24 21:21:09 | 000,000,146 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.06.24 21:18:57 | 001,043,216 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.24 21:18:57 | 000,458,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.06.24 21:18:57 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.06.24 21:18:57 | 000,084,318 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.06.24 21:18:57 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.06.24 20:47:55 | 000,000,157 | ---- | M] () -- C:\WINDOWS\UpTiDev.INI [2010.06.22 19:06:07 | 000,000,940 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Arbeitsplatz.lnk [2010.06.19 23:23:21 | 000,000,218 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel [2010.06.17 22:00:48 | 008,595,773 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Die Freundin erschrecken!.MP4 ========== Files Created - No Company Name ========== [2010.09.10 02:32:56 | 000,000,182 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2010.09.10 00:12:52 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk [2010.09.10 00:12:52 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk [2010.09.10 00:06:28 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\defogger.exe [2010.09.10 00:06:27 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip [2010.09.10 00:05:57 | 000,388,197 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Load.exe [2010.09.10 00:01:38 | 000,015,396 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\trojaner forum.odt [2010.09.09 21:32:58 | 003,841,108 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe [2010.09.09 18:17:42 | 000,002,447 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk [2010.09.09 18:09:25 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\mobstify.dll [2010.09.09 18:09:21 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\apiqfw.dat [2010.09.09 17:29:09 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.09 15:34:56 | 000,004,022 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer2.elfo [2010.09.09 15:34:07 | 000,030,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.pdf [2010.09.09 15:16:24 | 000,044,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.elfo [2010.09.09 15:05:13 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2010.09.09 14:48:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Kxajuwone.bin [2010.09.09 14:48:25 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jludili.dat [2010.09.09 14:46:45 | 000,585,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\dwamqkuj.sys [2010.09.09 14:46:41 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\System32\mobstify.dll [2010.09.09 14:46:39 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat [2010.09.08 18:18:27 | 000,011,390 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mischkreuzverfahren.odt [2010.09.08 18:11:30 | 000,035,357 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mischkreuzverfahren.pdf [2010.09.07 17:41:55 | 000,654,570 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\75817_probe.pdf [2010.09.07 01:52:08 | 000,730,102 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\statistik.bmp [2010.09.02 18:45:41 | 002,491,416 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Hindenburgs Ansprache an die deutsche Jugend 01.05.1933.FLV [2010.08.31 10:42:20 | 000,014,543 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\zeugnis noten.ods [2010.08.24 16:21:27 | 000,000,010 | R--- | C] () -- C:\WINDOWS\PSTUDIO.SN [2010.08.24 16:01:00 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A4W.INI [2010.08.24 16:00:47 | 000,000,572 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2010.08.24 16:00:12 | 000,000,022 | ---- | C] () -- C:\WINDOWS\OP70.INI [2010.08.24 15:59:13 | 000,001,075 | ---- | C] () -- C:\WINDOWS\pstudio.ini [2010.08.24 15:59:13 | 000,000,028 | ---- | C] () -- C:\WINDOWS\album.ini [2010.08.24 15:59:13 | 000,000,021 | ---- | C] () -- C:\WINDOWS\Ps_setup.ini [2010.08.19 23:19:09 | 038,372,518 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\flugblatt_dina6_8seiten.psd [2010.08.19 21:25:55 | 000,086,067 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\599-013.jpg [2010.08.19 16:16:50 | 029,482,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\setupDE82.exe [2010.08.07 18:19:47 | 000,002,151 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Stream Catcher 2 FREE.lnk [2010.08.05 22:35:59 | 000,186,742 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-5.jpg [2010.08.05 22:35:54 | 000,142,311 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-4.jpg [2010.08.05 22:35:50 | 000,162,193 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-3.jpg [2010.08.05 22:35:45 | 000,187,289 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-2.jpg [2010.08.05 22:35:41 | 000,225,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-1.jpg [2010.08.04 17:20:24 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\CCleaner.lnk [2010.08.02 16:46:30 | 000,000,032 | R--- | C] () -- C:\WINDOWS\hash.dat [2010.07.28 21:05:20 | 000,076,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\terasse.dwg [2010.07.26 00:14:26 | 000,001,475 | ---- | C] () -- C:\WINDOWS\mgas6.dat [2010.07.18 19:41:50 | 000,632,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Notepad2.exe [2010.07.15 21:09:24 | 000,015,673 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\newtonsches näherungs.odt [2010.07.05 12:47:32 | 008,650,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat [2010.06.24 21:21:09 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.06.24 20:51:16 | 000,000,360 | ---- | C] () -- C:\WINDOWS\tasks\WinMaximizer-Administrator-Startup.job [2010.06.24 20:47:55 | 000,000,157 | ---- | C] () -- C:\WINDOWS\UpTiDev.INI [2010.06.22 19:05:42 | 000,000,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Arbeitsplatz.lnk [2010.06.21 21:16:32 | 008,595,773 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Die Freundin erschrecken!.MP4 [2010.06.19 23:23:21 | 000,000,218 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel [2010.05.07 00:34:18 | 001,704,776 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2009.12.01 20:01:38 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.09.17 20:30:01 | 000,000,107 | ---- | C] () -- C:\WINDOWS\EasyCash.ini [2009.09.17 20:29:51 | 000,000,221 | ---- | C] () -- C:\WINDOWS\EasyCT.INI [2009.05.21 17:26:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Videodeluxe.INI [2009.05.21 16:59:53 | 000,003,489 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2009.05.01 13:26:57 | 000,000,658 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2009.05.01 00:41:10 | 000,000,097 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMediaPlayer.m3u [2009.05.01 00:33:11 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2009.05.01 00:33:11 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2009.05.01 00:23:40 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.03.17 00:45:21 | 000,000,469 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2009.03.17 00:45:20 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2009.03.17 00:45:20 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2009.03.17 00:45:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2009.03.17 00:45:13 | 000,014,441 | ---- | C] () -- C:\WINDOWS\HL-5240.INI [2009.03.16 16:14:10 | 000,033,280 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.03.15 20:00:55 | 000,000,848 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys [2009.03.07 13:54:40 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winscp.rnd [2008.11.05 11:42:45 | 000,062,400 | ---- | C] () -- C:\WINDOWS\System32\IFC.dll [2008.11.05 11:41:56 | 000,422,848 | ---- | C] () -- C:\WINDOWS\System32\PPL.dll [2008.04.14 14:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\ipadibot.dll [2007.07.16 12:58:10 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll [2007.07.16 12:58:00 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll ========== LOP Check ========== [2010.09.10 02:48:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.purple [2010.01.11 20:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Audacity [2010.05.07 00:28:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Autodesk [2010.08.24 18:41:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon [2010.08.04 11:27:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint [2009.11.21 16:32:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DeepBurner [2010.09.09 15:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular [2009.03.16 16:02:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FLV Extract [2010.08.07 03:31:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GrabPro [2010.08.05 16:04:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0 [2010.03.31 14:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICAClient [2009.05.07 00:04:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\KeePass [2009.06.02 20:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX [2009.04.04 20:04:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OLYMPUS [2009.03.18 13:50:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org [2010.08.07 17:42:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit [2010.06.25 17:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PixelPlanet [2010.08.07 03:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProgSense [2010.03.13 17:01:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Publish Providers [2010.03.13 17:01:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony [2010.08.07 14:59:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper [2010.01.24 22:55:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird [2009.03.09 17:27:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt [2010.08.04 16:56:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue [2010.04.11 15:59:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VEKA_D53A [2010.08.04 20:46:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\YoudaGames [2010.05.08 17:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk [2010.08.07 18:20:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads [2010.09.09 15:05:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2009.12.28 22:19:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe [2009.05.21 17:08:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2009.03.07 14:16:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2010.06.25 17:00:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet [2010.03.13 16:49:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony [2010.08.08 21:29:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2009.03.09 12:07:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt [2010.09.10 02:45:39 | 000,000,360 | ---- | M] () -- C:\WINDOWS\Tasks\WinMaximizer-Administrator-Startup.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2009.03.07 13:15:21 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2010.08.04 19:50:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2008.04.14 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2009.03.07 13:15:21 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2010.08.22 21:12:56 | 000,003,449 | ---- | M] () -- C:\InstallHelper.log [2009.03.07 13:15:21 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2009.03.07 13:15:21 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2008.04.14 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2008.04.14 14:00:00 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.09.10 02:45:03 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > [2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont [2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont [2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont [2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont < %systemroot%\Fonts\*.dll > < %systemroot%\Fonts\*.ini > [2009.03.07 13:15:03 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > [2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll [2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > < %PROGRAMFILES%\*.* > < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [2008.08.01 06:33:54 | 000,425,984 | R--- | M] (Advanced Micro Devices, Inc.) Unable to obtain MD5 -- C:\WINDOWS\system32\ATIDEMGX.dll < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2009.03.07 13:58:13 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2009.03.07 13:58:12 | 001,089,536 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2009.03.07 13:58:12 | 000,458,752 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\user32.dll /md5 > [2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 14:00:00 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 14:00:00 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > ========== Alternate Data Streams ========== @Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:96EE29A3 < End of report > Anmerkung: Die Extras.txt habe ich nicht bekommen (habe bei OTL wie in der Beschreibung gefordert die scan.txt aus dem Ordner eingefügt ) ------------------------------ Bevor ich die Beschreibung gefunden hatte, habe ich einen vollständigen Scan mit Malware gemacht. Vielleicht kann dieser weiterhelfen? Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4583
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
09.09.2010 21:07:01
mbam-log-2010-09-09 (21-07-01).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 231338
Laufzeit: 2 Stunde(n), 36 Minute(n), 5 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP416\A0096746.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\psenent.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TMF.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
|
|
10.09.2010, 10:35
| #2 |
| /// Malware-holic   | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? 1. daten sichern, du wirst den pc neu aufsetzen müssen, aber vorher will ich mir noch was ansehen.
__________________ich werde dir dann außerdem helfen das system richtig abzusichern. ein grund, aus dem du dich infiziert haben könntest könnte sein, das der updatezustand einiger programme zu wünschen übrig lässt. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
10.09.2010, 11:04
| #3 |
| | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? Hallo,
__________________hört sich ja nicht gut an, die Antwort... Ich habe über die Forensuche einen ähnlichen Fall gefunden, dort konnte das Problem gelöst werden. Leider ist für mich nicht nachvollziehbar, worin sich die beiden Sachverhalte unterscheiden. (hier ist der andere Fall: trojaner-board.de/90397-20tans-onlinebanking-abfrage-mainzer-volksbank-trojaner-los-werden.html ) Besten Gruß ------------------------------------ Hier die Daten aus der ComboFix.txt: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-09.03 - Administrator 10.09.2010 11:53:30.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1918.1491 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome.manifest
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\install.rdf
c:\windows\ipadibot.dll
----- Datei Replikatoren -----
c:\windows\Installer\{0A4A3165-7A7D-9DDB-4AB0-BF572A35BDCD}\ARPPRODUCTICON.exe
c:\windows\Installer\{1779A40B-32A0-17CD-A333-EC43482EC032}\ARPPRODUCTICON.exe
c:\windows\Installer\{1D450B93-A74E-236A-0D4F-6F7BDBB3FF66}\ARPPRODUCTICON.exe
c:\windows\Installer\{1EACFF7B-B5C2-827B-BB8A-C009A1F91443}\ARPPRODUCTICON.exe
c:\windows\Installer\{1FD9563C-377D-F78D-55DA-C9B396BFD986}\ARPPRODUCTICON.exe
c:\windows\Installer\{228D5F55-22E1-49EA-9E45-0FC7AFC5BD17}\ARPPRODUCTICON.exe
c:\windows\Installer\{22962997-40E1-811E-C348-4DF07A2A8B93}\ARPPRODUCTICON.exe
c:\windows\Installer\{28A25C46-CDE5-2C60-EE82-9567AB0B1D63}\ARPPRODUCTICON.exe
c:\windows\Installer\{2DC31EC1-A95E-F098-A9C1-A693FE34FB0E}\ARPPRODUCTICON.exe
c:\windows\Installer\{30E1A1E3-9623-FA27-19AE-6E53764F2C8C}\ARPPRODUCTICON.exe
c:\windows\Installer\{32680C18-53B0-B2C5-CEC7-0B05F68EC5BD}\ARPPRODUCTICON.exe
c:\windows\Installer\{3845118D-795E-F7A0-4B3A-FDE9BC5F29AB}\ARPPRODUCTICON.exe
c:\windows\Installer\{3CF279A4-8775-3AB6-F2FA-437B6ED68A03}\ARPPRODUCTICON.exe
c:\windows\Installer\{3E15EA58-582B-5390-ECE9-5B2DE54D0EEB}\ARPPRODUCTICON.exe
c:\windows\Installer\{403CF577-1198-B246-9DE2-9F971B957B4D}\ARPPRODUCTICON.exe
c:\windows\Installer\{4813D869-6CCB-C935-62B2-2A5B91809B20}\ARPPRODUCTICON.exe
c:\windows\Installer\{48D49587-AC1C-5AEA-6915-1ABB02730B81}\ARPPRODUCTICON.exe
c:\windows\Installer\{495DB8C6-3B3C-3B65-0ACC-B99D960B4F15}\ARPPRODUCTICON.exe
c:\windows\Installer\{4A436687-178F-55BB-E5F9-F02E79F3E694}\ARPPRODUCTICON.exe
c:\windows\Installer\{4B489319-800F-C813-33DE-EC0D159E0A9C}\ARPPRODUCTICON.exe
c:\windows\Installer\{52DD159B-D034-66EF-73C7-ACF8EB1F6D7A}\ARPPRODUCTICON.exe
c:\windows\Installer\{558EB6F8-47CB-FC23-6E87-5B60D31BB77B}\ARPPRODUCTICON.exe
c:\windows\Installer\{5918D0DB-E85F-A85C-7018-C2766296FE9F}\ARPPRODUCTICON.exe
c:\windows\Installer\{5E979482-A3E5-2514-4751-E9D829DA5D62}\ARPPRODUCTICON.exe
c:\windows\Installer\{5F28C5DF-1986-A030-C632-96BB6A2F671F}\ARPPRODUCTICON.exe
c:\windows\Installer\{74063E2A-779C-2468-3E42-336378473E68}\ARPPRODUCTICON.exe
c:\windows\Installer\{7DBB411A-BF70-6065-48DB-805280B124DA}\ARPPRODUCTICON.exe
c:\windows\Installer\{82888C2F-8EEC-DA00-03DC-BB428AE2ED70}\ARPPRODUCTICON.exe
c:\windows\Installer\{8738A2CA-31AC-FF9B-B185-11F4686CB384}\ARPPRODUCTICON.exe
c:\windows\Installer\{8DED8FBE-7FFA-6594-E496-A2C402B2FCD1}\ARPPRODUCTICON.exe
c:\windows\Installer\{93F70ECC-F010-E9A8-CFFC-0FCFCEA97E41}\ARPPRODUCTICON.exe
c:\windows\Installer\{94552885-D502-7606-DC5E-B41392F8E3A6}\ARPPRODUCTICON.exe
c:\windows\Installer\{96D0859C-A1AA-2EF6-7251-E27A038DF006}\ARPPRODUCTICON.exe
c:\windows\Installer\{9B74E2C0-8AE3-306B-4725-CF2F76F2D9AE}\ARPPRODUCTICON.exe
c:\windows\Installer\{9EAB625F-4993-003F-B502-966FD5C10134}\ARPPRODUCTICON.exe
c:\windows\Installer\{A1DE571E-6309-ECB1-37E8-8E5AD2A1ED3C}\ARPPRODUCTICON.exe
c:\windows\Installer\{A5E25BA5-21FD-3D88-AABC-64794C5E2B3D}\ARPPRODUCTICON.exe
c:\windows\Installer\{A96B7070-6499-3A6F-EF08-63F790843E82}\ARPPRODUCTICON.exe
c:\windows\Installer\{B071ACE5-8365-2F61-615B-26CB442FB2F3}\ARPPRODUCTICON.exe
c:\windows\Installer\{B38090CD-6615-C86C-FF35-E71395232E19}\ARPPRODUCTICON.exe
c:\windows\Installer\{BF3839CA-3FEA-E7BA-72D8-EA51CD8E8BC6}\ARPPRODUCTICON.exe
c:\windows\Installer\{C7A22760-E402-C335-5CC1-1633F286ED0B}\ARPPRODUCTICON.exe
c:\windows\Installer\{C9F972A2-C52A-4DD6-4684-A65BF4D2E522}\ARPPRODUCTICON.exe
c:\windows\Installer\{CAFB9E4A-2C50-A16B-5082-8ECF4F4C4305}\ARPPRODUCTICON.exe
c:\windows\Installer\{D11421F5-717F-142D-76E6-A038E6A9D3F5}\ARPPRODUCTICON.exe
c:\windows\Installer\{D6A648D2-7837-30E0-4179-2848D7F870C2}\ARPPRODUCTICON.exe
c:\windows\Installer\{E3D3FA5D-0AAE-7861-5C49-9EA1B6BA3D07}\ARPPRODUCTICON.exe
c:\windows\Installer\{E9184AE4-B480-9455-7682-AD236D06729C}\ARPPRODUCTICON.exe
c:\windows\Installer\{F10B8DD1-1E94-8689-93AA-9441BAEAFF23}\ARPPRODUCTICON.exe
c:\windows\Installer\{F7321CA4-91BF-14D4-29B6-148E67FF51A5}\ARPPRODUCTICON.exe
c:\windows\Installer\{F7FA3D60-D9AC-96C7-E7C0-D02C39830B0F}\ARPPRODUCTICON.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-10 bis 2010-09-10 ))))))))))))))))))))))))))))))
.
2010-09-10 00:46 . 2010-09-10 00:46 2303 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2010-09-09 22:12 . 2010-09-09 22:12 -------- d-----w- c:\programme\ERUNT
2010-09-09 16:17 . 2010-09-09 16:17 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-09 16:17 . 2010-09-09 16:17 -------- d-----w- c:\programme\Trend Micro
2010-09-09 16:09 . 2010-09-09 16:09 46592 ---ha-w- c:\windows\mobstify.dll
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 15:29 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 15:27 . 2010-09-09 15:27 503808 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcp71.dll
2010-09-09 15:27 . 2010-09-09 15:27 499712 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\jmc.dll
2010-09-09 15:27 . 2010-09-09 15:27 348160 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcr71.dll
2010-09-09 15:27 . 2010-09-09 15:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-09 15:27 . 2010-09-09 15:27 61440 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-sse.dll
2010-09-09 15:27 . 2010-09-09 15:27 12800 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-d3d.dll
2010-09-09 15:27 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-09 15:01 . 2010-09-09 15:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-09 13:05 . 2010-09-09 13:05 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular
2010-09-09 13:05 . 2010-09-09 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-09-09 13:04 . 2010-09-09 13:05 -------- d-----w- c:\programme\ElsterFormular
2010-09-09 12:58 . 2010-08-05 00:14 875296 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2010-09-09 12:48 . 2010-09-09 22:09 0 ----a-w- c:\windows\Kxajuwone.bin
2010-09-09 12:48 . 2010-09-10 09:32 120 ----a-w- c:\windows\Jludili.dat
2010-09-09 12:46 . 2010-09-10 09:55 585504 ----a-w- c:\windows\system32\drivers\dwamqkuj.sys
2010-09-09 12:46 . 2010-09-09 12:46 46592 ---ha-w- c:\windows\system32\mobstify.dll
2010-09-03 18:16 . 2010-09-09 21:13 -------- d-----w- c:\windows\system32\NtmsData
2010-09-03 18:13 . 2010-09-03 18:13 -------- d-----w- c:\programme\Avira
2010-09-03 18:13 . 2010-09-03 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-03 18:13 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-09-03 18:13 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-09-03 18:13 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-09-03 18:13 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-08-24 16:26 . 2010-08-24 16:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canon
2010-08-24 16:18 . 2008-04-13 22:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-08-24 16:18 . 2008-04-13 22:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-08-24 14:05 . 2010-08-24 14:05 -------- d-----w- c:\programme\Canon
2010-08-24 14:01 . 2010-08-24 14:01 -------- d-----w- c:\windows\A4W_DATA
2010-08-24 13:59 . 1998-10-16 07:45 44032 ----a-w- c:\windows\OP9Deins.exe
2010-08-24 13:59 . 1998-10-12 16:13 97280 ----a-w- c:\windows\system32\opshel32.dll
2010-08-24 13:59 . 1998-10-12 16:08 299520 ----a-w- c:\windows\Uninsop9.exe
2010-08-24 13:59 . 2010-08-24 14:00 -------- d-----w- c:\windows\Pixtran
2010-08-24 13:59 . 2010-08-24 14:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Caere
2010-08-24 13:59 . 2010-08-24 13:59 -------- d-----w- c:\programme\Caere
2010-08-24 13:59 . 1997-04-08 18:08 299520 ----a-w- c:\windows\uninst.exe
2010-08-24 13:59 . 1995-07-31 11:44 212480 ----a-w- c:\windows\PCDLIB32.DLL
2010-08-24 13:59 . 2010-08-24 13:59 -------- d-----w- c:\programme\ArcSoft
2010-08-24 13:35 . 2002-03-06 16:35 122880 ----a-w- c:\windows\system32\N065UUD.DLL
2010-08-24 13:35 . 2000-01-06 18:05 318976 ----a-w- c:\windows\system32\UCS32P.DLL
2010-08-24 13:35 . 2002-03-06 18:25 323584 ----a-w- c:\windows\system32\N065UFW.dll
2010-08-24 13:35 . 2000-04-28 04:07 28718 ----a-w- c:\windows\system32\N065UCPL.DLL
2010-08-24 13:26 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 09:45 . 2009-03-09 09:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple
2010-09-10 00:52 . 2009-03-18 11:51 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-09 19:11 . 2009-03-07 12:08 489000 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 17:03 . 2009-04-04 18:24 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-09 16:09 . 2010-09-09 16:09 24 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
2010-09-09 15:26 . 2009-03-24 17:32 -------- d-----w- c:\programme\Java
2010-09-09 12:46 . 2010-09-09 12:46 24 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-09-08 18:32 . 2009-03-15 17:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2010-08-22 19:14 . 2010-08-07 16:20 -------- d-----w- c:\programme\ProtectDisc
2010-08-19 22:53 . 2010-05-06 22:34 1704776 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-08 19:29 . 2010-08-04 18:46 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-07 16:20 . 2010-08-07 16:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
2010-08-07 16:20 . 2010-08-07 16:19 -------- d-----w- c:\programme\Gemeinsame Dateien\DATA BECKER Shared
2010-08-07 16:20 . 2010-08-07 16:20 -------- d-----w- c:\programme\ProtectDisc Driver Installer
2010-08-07 16:19 . 2010-08-07 16:19 -------- d-----w- c:\programme\Windows Media Components
2010-08-07 16:19 . 2010-08-07 16:19 -------- d-----w- c:\programme\DATA BECKER
2010-08-07 16:13 . 2010-08-07 16:13 -------- d-----w- c:\programme\Windows Media Connect 2
2010-08-07 15:42 . 2010-08-07 12:59 -------- d-----w- c:\programme\Streamripper
2010-08-07 15:42 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2010-08-07 12:59 . 2010-08-07 12:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\streamripper
2010-08-07 01:31 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ProgSense
2010-08-07 01:31 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GrabPro
2010-08-05 14:04 . 2009-03-15 20:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-04 18:46 . 2010-08-04 18:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\YoudaGames
2010-08-04 15:43 . 2010-08-04 15:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\.purple
2010-08-04 15:41 . 2010-08-04 15:41 489000 ----a-w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-04 15:41 . 2010-08-04 15:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2010-08-04 15:20 . 2010-08-04 15:20 -------- d-----w- c:\programme\CCleaner
2010-08-04 15:15 . 2010-08-04 15:15 -------- d-----w- c:\programme\Conduit
2010-08-04 14:56 . 2010-08-04 14:56 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue
2010-08-04 12:23 . 2010-08-04 16:15 185136 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-04 09:27 . 2010-08-04 09:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CheckPoint
2010-07-25 22:32 . 2010-07-25 22:32 -------- d-----w- c:\programme\Animake
2010-06-25 15:27 . 2008-08-14 06:57 73312 ----a-w- c:\windows\system32\drivers\adfs.sys
2010-06-24 19:21 . 2010-06-24 19:21 146 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-24 19:18 . 2008-04-14 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2010-06-24 19:18 . 2008-04-14 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2009-07-29 13:40 . 2010-04-03 15:07 605184 ----a-w- c:\programme\mozilla firefox\plugins\beanspruchung.dll
2009-07-24 12:40 . 2010-04-03 15:07 25600 ----a-w- c:\programme\mozilla firefox\plugins\borlndmm.dll
2009-07-24 12:40 . 2010-04-03 15:07 1500160 ----a-w- c:\programme\mozilla firefox\plugins\cc3260mt.dll
2009-07-29 13:39 . 2010-04-03 15:07 713216 ----a-w- c:\programme\mozilla firefox\plugins\gemeinden_italy.dll
2009-07-29 13:38 . 2010-04-03 15:07 1982464 ----a-w- c:\programme\mozilla firefox\plugins\mdview3d.dll
2009-07-24 12:42 . 2010-04-03 15:07 288256 ----a-w- c:\programme\mozilla firefox\plugins\scprint_bc.dll
2009-07-24 12:42 . 2010-04-03 15:07 101376 ----a-w- c:\programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
2009-07-29 13:38 . 2010-04-03 15:07 3534336 ----a-w- c:\programme\mozilla firefox\plugins\scviewer.dll
2009-07-24 12:40 . 2010-04-03 15:07 618496 ----a-w- c:\programme\mozilla firefox\plugins\stlpmt45.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2009-03-07 1353408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-06-25 611712]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-03-09 37888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-04-04 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-05 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 30208]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pidgin.lnk - c:\programme\Pidgin\pidgin.exe [2009-3-2 45603]
VPN Client.lnk - c:\windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2009-11-6 6144]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1036:TCP"= 1036:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [21.05.2009 17:11 99840]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.09.2010 20:13 135336]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [07.08.2010 18:20 187456]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2009 16:16 722416]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - dwamqkuj
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - netzradio-germania Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://ebay.de
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
Toolbar-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
HKLM-Run-DriverCD - D:\Run.exe
HKLM-Run-Dmefilakiza - c:\windows\ipadibot.dll
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwamqkuj]
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Zeit der Fertigstellung: 2010-09-10 11:56:47
ComboFix-quarantined-files.txt 2010-09-10 09:56
Vor Suchlauf: 9 Verzeichnis(se), 181.816.864.768 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 181.779.841.024 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - DD32637736D8400BFF9EE461A954BE0F
|
|
10.09.2010, 11:13
| #4 |
| /// Malware-holic | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? hi, ich würde mit nem einmal infizierten pc nie wieder online banking machen, wenns doch mal n neues problem gibt, wir den pc nicht mehr auf den ursprünglichen stand bringen können, etc ist das geld vllt doch mal weg. wenn du das risiko eingehen willst solls mir recht sein aber ich rate davon ab. wie gesagt, 1 mal in den sauren apfel beißen, dann pc sicher machen und dann hoffendlich für immer ruhe. ich sehe hier noch dateien, die ich gern einsammeln möchte, um sie den antivirus herstellern zukommen zu lassen Start programme zubehör, editor, kopiere rein: Killall:: Rootkit:: c:\windows\mobstify.dll c:\windows\Kxajuwone.bin c:\windows\Jludili.dat c:\windows\system32\drivers\dwamqkuj.sys c:\windows\system32\mobstify.dll Driver:: dwamqkuj Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwamqkuj] Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ, alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
|
10.09.2010, 11:44
| #5 |
| | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? Wie mache ich das denn am besten mit dem Datensichern? Kann ich z.B. einfach alle Dateien, die ich für notwendig halte auf ne externe Festplatte machen und diese dann wieder nutzen, wenn ich das System neu aufgebaut habe? Der Trojaner kann sich da nicht einschleichen? Nicht dass ich den dann wieder habe... Hier die neuen Daten. Code:
ATTFilter ComboFix 10-09-09.03 - Administrator 10.09.2010 12:20:47.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1918.1480 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
----- Datei Replikatoren -----
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP353\A0086264.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098984.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098985.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098986.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098987.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098988.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098989.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098990.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098991.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098992.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098993.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098994.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098995.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098996.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098997.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098998.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098999.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099000.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099001.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099002.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099003.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099004.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099005.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099006.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099007.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099008.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099009.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099010.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099011.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099012.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099013.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099014.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099015.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099016.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099017.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099018.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099019.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099020.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099021.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099022.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099023.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099024.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099025.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099026.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099027.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099028.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099029.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099030.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099031.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099032.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099033.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099034.exe
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DWAMQKUJ
-------\Service_dwamqkuj
((((((((((((((((((((((( Dateien erstellt von 2010-08-10 bis 2010-09-10 ))))))))))))))))))))))))))))))
.
2010-09-10 10:06 . 2010-09-10 10:06 2157 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2010-09-09 22:12 . 2010-09-09 22:12 -------- d-----w- c:\programme\ERUNT
2010-09-09 16:17 . 2010-09-09 16:17 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-09 16:17 . 2010-09-09 16:17 -------- d-----w- c:\programme\Trend Micro
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-09-09 15:29 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 15:29 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 15:27 . 2010-09-09 15:27 503808 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcp71.dll
2010-09-09 15:27 . 2010-09-09 15:27 499712 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\jmc.dll
2010-09-09 15:27 . 2010-09-09 15:27 348160 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcr71.dll
2010-09-09 15:27 . 2010-09-09 15:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-09 15:27 . 2010-09-09 15:27 61440 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-sse.dll
2010-09-09 15:27 . 2010-09-09 15:27 12800 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-d3d.dll
2010-09-09 15:27 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-09 15:01 . 2010-09-09 15:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-09 13:05 . 2010-09-09 13:05 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular
2010-09-09 13:05 . 2010-09-09 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-09-09 13:04 . 2010-09-09 13:05 -------- d-----w- c:\programme\ElsterFormular
2010-09-09 12:58 . 2010-08-05 00:14 875296 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2010-09-03 18:16 . 2010-09-09 21:13 -------- d-----w- c:\windows\system32\NtmsData
2010-09-03 18:13 . 2010-09-03 18:13 -------- d-----w- c:\programme\Avira
2010-09-03 18:13 . 2010-09-03 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-03 18:13 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-09-03 18:13 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-09-03 18:13 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-09-03 18:13 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-08-24 16:26 . 2010-08-24 16:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canon
2010-08-24 16:18 . 2008-04-13 22:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-08-24 16:18 . 2008-04-13 22:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-08-24 14:05 . 2010-08-24 14:05 -------- d-----w- c:\programme\Canon
2010-08-24 14:01 . 2010-08-24 14:01 -------- d-----w- c:\windows\A4W_DATA
2010-08-24 13:59 . 1998-10-16 07:45 44032 ----a-w- c:\windows\OP9Deins.exe
2010-08-24 13:59 . 1998-10-12 16:13 97280 ----a-w- c:\windows\system32\opshel32.dll
2010-08-24 13:59 . 1998-10-12 16:08 299520 ----a-w- c:\windows\Uninsop9.exe
2010-08-24 13:59 . 2010-08-24 14:00 -------- d-----w- c:\windows\Pixtran
2010-08-24 13:59 . 2010-08-24 14:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Caere
2010-08-24 13:59 . 2010-08-24 13:59 -------- d-----w- c:\programme\Caere
2010-08-24 13:59 . 1997-04-08 18:08 299520 ----a-w- c:\windows\uninst.exe
2010-08-24 13:59 . 1995-07-31 11:44 212480 ----a-w- c:\windows\PCDLIB32.DLL
2010-08-24 13:59 . 2010-08-24 13:59 -------- d-----w- c:\programme\ArcSoft
2010-08-24 13:35 . 2002-03-06 16:35 122880 ----a-w- c:\windows\system32\N065UUD.DLL
2010-08-24 13:35 . 2000-01-06 18:05 318976 ----a-w- c:\windows\system32\UCS32P.DLL
2010-08-24 13:35 . 2002-03-06 18:25 323584 ----a-w- c:\windows\system32\N065UFW.dll
2010-08-24 13:35 . 2000-04-28 04:07 28718 ----a-w- c:\windows\system32\N065UCPL.DLL
2010-08-24 13:26 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 10:28 . 2009-03-09 09:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple
2010-09-10 00:52 . 2009-03-18 11:51 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-09 19:11 . 2009-03-07 12:08 489000 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 17:03 . 2009-04-04 18:24 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-09 16:09 . 2010-09-09 16:09 24 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
2010-09-09 15:26 . 2009-03-24 17:32 -------- d-----w- c:\programme\Java
2010-09-09 12:46 . 2010-09-09 12:46 24 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-09-08 18:32 . 2009-03-15 17:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2010-08-22 19:14 . 2010-08-07 16:20 -------- d-----w- c:\programme\ProtectDisc
2010-08-19 22:53 . 2010-05-06 22:34 1704776 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-08 19:29 . 2010-08-04 18:46 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-07 16:20 . 2010-08-07 16:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
2010-08-07 16:20 . 2010-08-07 16:19 -------- d-----w- c:\programme\Gemeinsame Dateien\DATA BECKER Shared
2010-08-07 16:20 . 2010-08-07 16:20 -------- d-----w- c:\programme\ProtectDisc Driver Installer
2010-08-07 16:19 . 2010-08-07 16:19 -------- d-----w- c:\programme\Windows Media Components
2010-08-07 16:19 . 2010-08-07 16:19 -------- d-----w- c:\programme\DATA BECKER
2010-08-07 16:13 . 2010-08-07 16:13 -------- d-----w- c:\programme\Windows Media Connect 2
2010-08-07 15:42 . 2010-08-07 12:59 -------- d-----w- c:\programme\Streamripper
2010-08-07 15:42 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2010-08-07 12:59 . 2010-08-07 12:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\streamripper
2010-08-07 01:31 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ProgSense
2010-08-07 01:31 . 2010-08-07 01:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GrabPro
2010-08-05 14:04 . 2009-03-15 20:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-04 18:46 . 2010-08-04 18:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\YoudaGames
2010-08-04 15:43 . 2010-08-04 15:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\.purple
2010-08-04 15:41 . 2010-08-04 15:41 489000 ----a-w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-04 15:41 . 2010-08-04 15:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2010-08-04 15:20 . 2010-08-04 15:20 -------- d-----w- c:\programme\CCleaner
2010-08-04 15:15 . 2010-08-04 15:15 -------- d-----w- c:\programme\Conduit
2010-08-04 14:56 . 2010-08-04 14:56 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue
2010-08-04 12:23 . 2010-08-04 16:15 185136 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-04 09:27 . 2010-08-04 09:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CheckPoint
2010-07-25 22:32 . 2010-07-25 22:32 -------- d-----w- c:\programme\Animake
2010-06-25 15:27 . 2008-08-14 06:57 73312 ----a-w- c:\windows\system32\drivers\adfs.sys
2010-06-24 19:21 . 2010-06-24 19:21 146 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-24 19:18 . 2008-04-14 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2010-06-24 19:18 . 2008-04-14 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2009-07-29 13:40 . 2010-04-03 15:07 605184 ----a-w- c:\programme\mozilla firefox\plugins\beanspruchung.dll
2009-07-24 12:40 . 2010-04-03 15:07 25600 ----a-w- c:\programme\mozilla firefox\plugins\borlndmm.dll
2009-07-24 12:40 . 2010-04-03 15:07 1500160 ----a-w- c:\programme\mozilla firefox\plugins\cc3260mt.dll
2009-07-29 13:39 . 2010-04-03 15:07 713216 ----a-w- c:\programme\mozilla firefox\plugins\gemeinden_italy.dll
2009-07-29 13:38 . 2010-04-03 15:07 1982464 ----a-w- c:\programme\mozilla firefox\plugins\mdview3d.dll
2009-07-24 12:42 . 2010-04-03 15:07 288256 ----a-w- c:\programme\mozilla firefox\plugins\scprint_bc.dll
2009-07-24 12:42 . 2010-04-03 15:07 101376 ----a-w- c:\programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
2009-07-29 13:38 . 2010-04-03 15:07 3534336 ----a-w- c:\programme\mozilla firefox\plugins\scviewer.dll
2009-07-24 12:40 . 2010-04-03 15:07 618496 ----a-w- c:\programme\mozilla firefox\plugins\stlpmt45.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-10_09.55.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-10 10:25 . 2010-09-10 10:25 16384 c:\windows\temp\Perflib_Perfdata_1e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2009-03-07 1353408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-06-25 611712]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-03-09 37888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-04-04 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-05 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 30208]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pidgin.lnk - c:\programme\Pidgin\pidgin.exe [2009-3-2 45603]
VPN Client.lnk - c:\windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2009-11-6 6144]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1036:TCP"= 1036:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [21.05.2009 17:11 99840]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.09.2010 20:13 135336]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [07.08.2010 18:20 187456]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2009 16:16 722416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - netzradio-germania Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://ebay.de
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-10 12:26
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1012)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'explorer.exe'(3772)
c:\windows\system32\AcSignIcon.dll
c:\programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-10 12:30:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-09-10 10:30
ComboFix2.txt 2010-09-10 09:56
Vor Suchlauf: 9 Verzeichnis(se), 181.782.290.432 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 181.693.079.552 Bytes frei
- - End Of File - - A51917D315AE4B77FBE7E35AAE5D6A38
|
|
10.09.2010, 11:47
| #6 |
| /// Malware-holic | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? genau das kannst du so machen. bitte erst mal nen rechtsklick auf den avira schirm, guard deaktivieren. dann öffne den arbeitsplatz, dort c: dann wähle qoobox aus, rechtsklick und zu qoobox.rar oder zip hinzufügen, dass archiv bitte hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
|
10.09.2010, 12:00
| #7 |
| | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? Datei ist hochgeladen. Ich werde dann wohl meine Daten sichern müssen. Den Trojaner habe ich doch als Datei auf dem Rechner, wie kann ich denn sicher sein, dass ich den nicht mit kopiere? Vielleicht verstehe ich den Sachverhalt auch falsch;-) |
|
10.09.2010, 12:12
| #8 |
| /// Malware-holic | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? der trojaner befindet sich aber nicht unter eigene dateien usw. du kannst also dokumente etc kopieren. danach formatierst du den pc, bitte aber nicht die schnelle formatierung wählen. dann besuchst du die windows update seite, da bitte servicepack 3 + alle sonstigen wichtigen updates aufspielen, auch den internet explorer 8. http://www.trojaner-board.de/54192-a...tellungen.html 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. avira: http://www.trojaner-board.de/54192-a...tellungen.html 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Adblock Plus: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de 9. um deine software aktuell zu halten, instaliere secunia. http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der urh auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen. klicke dazu auf "sandboxed web browser". 11. passwörter endern. |
|
17.09.2010, 19:47
| #9 |
| | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? So, der Rechner ist platt gemacht. Werde die Tage eine neue Version von Windows installieren und hoffen, dass die Probleme weg sind. markusg, vielen Dank für die gute Hilfe! |
|
17.09.2010, 19:51
| #10 |
| /// Malware-holic | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? ok, und die tipps alle konsequent umsetzen |
|
17.09.2010, 20:07
| #11 |
| | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? Nochmal eine kurze Frage. Die aufgeführten Tipps kann ich auch einfach auf einem weiteren Rechner umsetzen, oder? Sollte ich diesen vorher auch umfangreich prüfen oder kann die Tipps dort nach und nach abarbeiten? |
|
17.09.2010, 20:10
| #12 |
| /// Malware-holic | 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? wenn es ein xp pc ist, dann geht das mit der uac und sehop nicht. wenn auf dem pc kein verdacht besteht kannst du das umsetzen, die tipps gelten für jeder mann :-) |
|
| Themen zu 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? |
| 0x00000001, 20 tans, administrator, adobe, alternate, antivir, avgntflt.sys, avira, becker, bho, combofix, components, controlset002, e-banking, ebanking, einstellungen, explorer, extras.txt, firefox, format, google, hijack, jusched.exe, launch, location, malware, mozilla, mozilla thunderbird, mp3, msvcp90.dll, msvcr80.dll, ntdll.dll, oldtimer, otl.exe, plug-in, realtek, registry, required, searchplugins, server, software, system, temp, trojan.hiloti, trojaner, udp, usb, volksbank |
Linear-Darstellung
