|
Log-Analyse und Auswertung: kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.05.2011, 02:11 | #1 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Liebe Leute, ich habe heute das erste mal was mit Trojanern am Hut gehabt... Was für ein Elend! Ziemlich frustrierend das Ganze, da ich nicht mal im Ansatz weiß, was ich zu tun habe. Daher möchte ich mich heute an Euch wenden und hoffe inständig, dass jemand eine Lösung für mein Problem kennt. Ich habe seit heute immer wieder eine Meldung von ESET Smart Security 4, die ich als Anhang "Trojaner Bild 1" und "Trojaner Bild 2" hochgelanden habe. Laut ESET geht die Anwendung von "C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe" aus. Ich habe dann noch eine Warnung von ESET bekommen, die sagte, dass es sich um einen art des kryptik.NIT-Trojaners handelt. Über diese Unterart habe ich im Netz nichts finden können, so dass ich mich nun an Euch wenden möchte. Als erstes habe ich mich an den Beschreibungen hier im Board orientiert und möchte Euch im Folgenden die Ergebnisse des Scans via OTL 3.2.22.3 mitteilen: OTL.txt sieht aus wie folgt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 06.05.2011 02:40:55 - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Alexander\Desktop 64bit-Windows Vista Ultimate Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19048) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 8,00 Gb Total Physical Memory | 6,00 Gb Available Physical Memory | 71,00% Memory free 16,00 Gb Paging File | 14,00 Gb Available in Paging File | 85,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 195,77 Gb Total Space | 18,70 Gb Free Space | 9,55% Space Free | Partition Type: NTFS Drive D: | 205,08 Gb Total Space | 192,52 Gb Free Space | 93,88% Space Free | Partition Type: NTFS Drive E: | 195,32 Gb Total Space | 20,61 Gb Free Space | 10,55% Space Free | Partition Type: NTFS Drive K: | 1863,01 Gb Total Space | 26,01 Gb Free Space | 1,40% Space Free | Partition Type: NTFS Computer Name: ALEXANDER-PC | User Name: Alexander | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe PRC - [2011.04.30 18:37:33 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe PRC - [2011.03.01 16:47:56 | 007,832,440 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer.exe PRC - [2011.03.01 16:47:56 | 002,296,696 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe PRC - [2011.01.20 11:20:12 | 001,305,408 | ---- | M] (DT Soft Ltd) -- C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe PRC - [2010.12.09 04:59:31 | 000,134,656 | ---- | M] (Qooulxaowj Palghf) -- C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe PRC - [2010.02.26 07:10:20 | 021,979,992 | ---- | M] () -- C:\Users\Alexander\AppData\Roaming\Dropbox\bin\Dropbox.exe PRC - [2009.12.08 12:46:32 | 000,185,640 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe PRC - [2009.11.11 11:57:36 | 001,451,520 | ---- | M] (Nokia) -- C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe PRC - [2009.10.27 10:26:36 | 000,657,408 | ---- | M] (Nokia) -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe PRC - [2009.10.27 10:15:02 | 000,120,832 | ---- | M] (Nokia) -- C:\Program Files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe PRC - [2009.04.09 23:19:28 | 000,091,496 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files (x86)\Common Files\Nuance\NaturallySpeaking10\dgnuiasvr.exe PRC - [2009.04.09 23:15:46 | 002,844,008 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files (x86)\Nuance\NaturallySpeaking10\Program\natspeak.exe PRC - [2009.02.06 11:57:12 | 000,727,720 | ---- | M] (ESET) -- C:\Programme\ESET\ESET Smart Security\x86\ekrn.exe PRC - [2007.03.14 15:35:02 | 000,520,192 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe PRC - [2006.09.07 01:01:00 | 000,032,768 | ---- | M] (Creative Technology Ltd.) -- C:\Windows\V0230Mon.exe ========== Modules (SafeList) ========== MOD - [2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll MOD - [2010.05.04 21:13:07 | 000,231,424 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\msshsq.dll MOD - [2010.02.07 04:21:38 | 000,632,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d08d7da0442a985d\msvcr80.dll MOD - [2009.10.12 21:15:11 | 000,097,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll MOD - [2008.01.21 04:50:15 | 000,183,808 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\duser.dll MOD - [2006.11.02 17:00:07 | 000,009,728 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\IconCodecService.dll MOD - [2006.11.02 10:33:06 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\normaliz.dll ========== Win32 Services (SafeList) ========== SRV:64bit: - [2009.06.30 01:44:16 | 001,038,088 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64) SRV:64bit: - [2009.02.25 23:34:02 | 000,949,760 | ---- | M] (ATI Technologies Inc.) [Auto | Running] -- C:\Windows\SysNative\Ati2evxx.exe -- (Ati External Event Utility) SRV:64bit: - [2009.02.06 12:00:26 | 000,023,296 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe -- (EhttpSrv) SRV:64bit: - [2009.02.06 11:57:12 | 000,727,720 | ---- | M] (ESET) [Auto | Running] -- C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe -- (ekrn) SRV:64bit: - [2008.01.21 04:50:23 | 000,195,584 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2011.03.01 16:47:56 | 002,296,696 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.12.08 12:46:32 | 000,185,640 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5) SRV - [2009.10.27 10:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand | Running] -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2009.09.23 16:37:30 | 000,051,168 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files (x86)\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R) SRV - [2009.06.30 01:42:00 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2009.03.30 06:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2008.08.15 05:46:20 | 000,284,016 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe -- (Adobe Version Cue CS4) SRV - [2007.05.31 11:11:54 | 000,443,784 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm) SRV - [2007.05.31 11:11:46 | 000,225,672 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr) ========== Driver Services (SafeList) ========== DRV:64bit: - [2011.01.30 03:39:24 | 000,254,528 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\dtsoftbus01.sys -- (dtsoftbus01) DRV:64bit: - [2010.06.10 01:01:10 | 000,055,856 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\PxHlpa64.sys -- (PxHlpa64) DRV:64bit: - [2009.10.17 21:31:33 | 000,871,408 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd) DRV:64bit: - [2009.10.06 12:54:18 | 000,008,704 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser_lowerfltx64j.sys -- (UsbserFilt) DRV:64bit: - [2009.10.06 12:53:56 | 000,025,088 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbox64.sys -- (nmwcdcx64) DRV:64bit: - [2009.10.06 12:53:56 | 000,008,704 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser_lowerfltx64.sys -- (upperdev) DRV:64bit: - [2009.10.06 12:53:54 | 000,018,944 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbx64.sys -- (nmwcdx64) DRV:64bit: - [2009.05.18 14:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2009.04.11 07:43:06 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx) DRV:64bit: - [2009.04.11 07:39:37 | 000,032,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbser.sys -- (usbser) DRV:64bit: - [2009.02.26 01:00:20 | 005,265,920 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (atikmdag) DRV:64bit: - [2009.02.20 07:18:02 | 000,110,096 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService) DRV:64bit: - [2009.02.06 11:58:26 | 000,044,944 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\epfwwfp.sys -- (epfwwfp) DRV:64bit: - [2009.02.06 11:58:22 | 000,033,608 | ---- | M] (ESET) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Epfwndis.sys -- (Epfwndis) DRV:64bit: - [2009.02.06 11:58:20 | 000,163,400 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\epfw.sys -- (epfw) DRV:64bit: - [2009.02.06 11:56:58 | 000,132,464 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\ehdrv.sys -- (ehdrv) DRV:64bit: - [2009.02.06 11:53:52 | 000,141,728 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\eamon.sys -- (eamon) DRV:64bit: - [2008.12.10 16:37:52 | 000,184,832 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169) DRV:64bit: - [2008.08.28 12:44:42 | 000,025,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\pccsmcfdx64.sys -- (pccsmcfd) DRV:64bit: - [2008.08.06 15:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\DRHARD64.sys -- (DRHARD64) DRV:64bit: - [2007.08.07 01:03:00 | 000,595,488 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\V0230VID.sys -- (V0230VID) DRV:64bit: - [2007.03.14 15:34:16 | 000,054,072 | ---- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\DgiVecp.sys -- (DgiVecp) DRV:64bit: - [2007.03.14 15:34:16 | 000,011,576 | ---- | M] (Samsung Electronics) [Kernel | Auto | Running] -- C:\Windows\SysNative\Drivers\SSPORT.sys -- (SSPORT) DRV:64bit: - [2006.09.18 23:36:24 | 000,000,308 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\Wbem\ntfs.mof -- (Ntfs) DRV:64bit: - [2006.05.05 01:00:00 | 000,010,752 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\V0230Vfx.sys -- (V0230Vfx) DRV - [2008.08.14 07:57:42 | 000,074,720 | ---- | M] (Adobe Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysWow64\drivers\adfs.sys -- (adfs) DRV - [2008.08.06 15:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysWOW64\drivers\DRHARD64.sys -- (DRHARD64) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 30 23 81 C4 EF 40 CB 01 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "foxsearch" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "foxsearch" FF - prefs.js..browser.search.selectedEngine: "foxsearch" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "google.de" FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1 FF - prefs.js..extensions.enabledItems: 6 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: 48 FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.2.44172 FF - prefs.js..extensions.enabledItems: {76C80A11-FAD4-406c-8246-F5ED4F9367B5}:0.1.7 FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.2 FF - prefs.js..extensions.enabledItems: {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}:7.2.0.8 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:2.1.6 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.9.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:3.3.3.2 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2011.04.30 18:37:34 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.04.30 18:37:34 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2009.10.22 23:08:57 | 000,000,000 | ---D | M] [2009.04.13 08:32:13 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Extensions [2011.05.05 23:14:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions [2011.04.26 11:31:41 | 000,000,000 | ---D | M] (FlashGot) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} [2010.01.30 09:00:56 | 000,000,000 | ---D | M] (Copy Links) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{76C80A11-FAD4-406c-8246-F5ED4F9367B5} [2011.04.26 11:31:40 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2011.04.26 11:31:45 | 000,000,000 | ---D | M] (iMacros for Firefox) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670} [2010.12.11 03:14:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2009.10.13 16:20:19 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2011.03.16 04:24:25 | 000,000,000 | ---D | M] (Personas) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\personas@christopher.beard [2011.04.26 11:29:05 | 000,000,000 | ---D | M] (Cooliris) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\piclens@cooliris.com [2011.04.26 11:29:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\piclens@cooliris.com-trash [2011.04.26 11:31:43 | 000,000,000 | ---D | M] (Zotero) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\zotero@chnm.gmu.edu [2011.01.18 06:18:18 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2010.05.23 00:04:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.09.26 18:26:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2011.01.18 06:18:18 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2010.03.19 10:23:30 | 000,686,592 | ---- | M] (Synatix GmbH) -- C:\Program Files (x86)\mozilla firefox\plugins\npmieze.dll [2010.09.27 08:57:09 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.09.27 08:57:09 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.01.16 00:55:29 | 000,000,143 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\foxsearch.src [2010.09.27 08:57:09 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2010.09.27 08:57:09 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2010.09.27 08:57:09 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.30 02:33:00 | 000,000,794 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 127.0.0.1 activate.adobe.com O2 - BHO: (ContributeBHO Class) - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll () O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll (FlashGet) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.) O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Contribute Toolbar) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll () O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Alexander\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Alexander\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH) O4:64bit: - HKLM..\Run: [egui] C:\Program Files\ESET\ESET Smart Security\egui.exe (ESET) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4:64bit: - HKLM..\Run: [Skytel] C:\Programme\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.) O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [DNS7reminder] C:\Program Files (x86)\Nuance\NaturallySpeaking10\Ereg\Ereg.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe () O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [V0230Mon.exe] C:\Windows\V0230Mon.exe (Creative Technology Ltd.) O4 - HKCU..\Run: [{2DFE2DEE-B2D1-B24A-B715-9557C7CB1961}] C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe (Qooulxaowj Palghf) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU..\Run: [ISUSPM Startup] File not found O4 - HKCU..\Run: [PC Suite Tray] C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia) O4 - HKCU..\Run: [WMPNSCFG] File not found O4 - Startup: C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dragon NaturallySpeaking.lnk = C:\Program Files (x86)\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.) O4 - Startup: C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Alexander\AppData\Roaming\Dropbox\bin\Dropbox.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O8:64bit: - Extra context menu item: &Download All by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm () O8:64bit: - Extra context menu item: &Download by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm () O8:64bit: - Extra context menu item: add to &BOM - C:\\PROGRA~2\\BIET-O~1\\\\AddToBOM.hta () O8:64bit: - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm () O8 - Extra context menu item: &Download by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm () O8 - Extra context menu item: add to &BOM - C:\\PROGRA~2\\BIET-O~1\\\\AddToBOM.hta () O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O13 - gopher Prefix: missing O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range - 5) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img36.jpg O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img36.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.05 03:14:37 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{3e0d4031-bb54-11de-b783-001d92f6d290}\Shell - "" = AutoRun O33 - MountPoints2\{3e0d4031-bb54-11de-b783-001d92f6d290}\Shell\AutoRun\command - "" = Q:\start.exe O33 - MountPoints2\{ba096678-2449-11de-8139-be097062187a}\Shell - "" = AutoRun O33 - MountPoints2\{ba096678-2449-11de-8139-be097062187a}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -a O33 - MountPoints2\{d1672f2a-ca03-11df-a2ee-001d92f6d290}\Shell\AutoRun\command - "" = I:\Toshiba\Launcher\start.exe O33 - MountPoints2\{fab122f7-24d5-11de-9e9d-001d92f6d290}\Shell - "" = AutoRun O33 - MountPoints2\{fab122f7-24d5-11de-9e9d-001d92f6d290}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX:64bit: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0 ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX:64bit: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX:64bit: {7070D8E0-650A-46b3-B03C-9497582E6A74} - %SystemRoot%\system32\soundschemes.exe /AddRegistration ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX:64bit: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.05.06 02:38:34 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT [2011.05.06 02:35:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ERUNT [2011.05.06 02:35:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ERUNT [2011.05.06 02:25:02 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Users\Alexander\Desktop\TFC.exe [2011.05.06 02:25:01 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe [2011.05.06 02:24:55 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Users\Alexander\Desktop\Erunt-setup.exe [2011.05.05 04:18:46 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\EZB [2011.05.02 22:05:15 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\London [2011.04.30 21:52:34 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\noch an Alex [2011.04.26 17:09:23 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\Teneriffa [2 C:\Users\Alexander\Desktop\*.tmp files -> C:\Users\Alexander\Desktop\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.05.06 02:35:56 | 001,453,910 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2011.05.06 02:35:56 | 000,632,014 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2011.05.06 02:35:56 | 000,598,702 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2011.05.06 02:35:56 | 000,127,258 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2011.05.06 02:35:56 | 000,104,716 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2011.05.06 02:35:13 | 000,000,776 | ---- | M] () -- C:\Users\Alexander\Desktop\NTREGOPT.lnk [2011.05.06 02:35:13 | 000,000,757 | ---- | M] () -- C:\Users\Alexander\Desktop\ERUNT.lnk [2011.05.06 02:32:46 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job [2011.05.06 02:29:56 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2011.05.06 02:29:42 | 000,004,960 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.05.06 02:29:42 | 000,004,960 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.05.06 02:29:35 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.05.06 02:27:58 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat [2011.05.06 02:25:21 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Users\Alexander\Desktop\Erunt-setup.exe [2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe [2011.05.06 02:25:16 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\TFC.exe [2011.05.06 02:20:02 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2011.05.06 02:03:08 | 000,100,686 | ---- | M] () -- C:\Users\Alexander\Desktop\4.JPG [2011.05.06 02:02:23 | 000,100,686 | ---- | M] () -- C:\Users\Alexander\Desktop\3.JPG [2011.05.06 02:01:45 | 000,132,005 | ---- | M] () -- C:\Users\Alexander\Desktop\2.JPG [2011.05.06 02:01:16 | 000,163,298 | ---- | M] () -- C:\Users\Alexander\Desktop\1.JPG [2011.05.06 01:50:38 | 000,377,282 | ---- | M] () -- C:\Users\Alexander\Desktop\Load.exe [2011.05.06 00:32:38 | 000,158,208 | ---- | M] () -- C:\Users\Alexander\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.05.06 00:24:24 | 000,041,968 | ---- | M] () -- C:\Users\Alexander\Desktop\Trojaner Bild 2.JPG [2011.05.06 00:23:54 | 000,042,051 | ---- | M] () -- C:\Users\Alexander\Desktop\Trojaner Bild 1.JPG [2011.05.05 16:13:38 | 000,057,846 | ---- | M] () -- C:\Users\Alexander\Desktop\l.jpg [2011.05.05 03:00:08 | 000,000,532 | ---- | M] () -- C:\Windows\tasks\NatSpeak Periodic Language Model Optimization.job [2011.05.01 02:08:59 | 000,000,518 | ---- | M] () -- C:\Windows\tasks\NatSpeak Periodic Acoustic Optimization.job [2011.04.29 19:41:17 | 000,757,553 | ---- | M] () -- C:\Users\Alexander\Desktop\Kündigung Alexander Müller.jpg [2011.04.29 00:12:57 | 1876,902,710 | ---- | M] () -- C:\Windows\MEMORY.DMP [2011.04.28 01:17:22 | 001,663,849 | ---- | M] () -- C:\Users\Alexander\Desktop\TalentEvent 2011.pdf [2011.04.28 00:52:14 | 003,730,900 | ---- | M] () -- C:\Users\Alexander\Desktop\Newsletter.pdf [2011.04.28 00:51:17 | 005,528,058 | ---- | M] () -- C:\Users\Alexander\Desktop\Einladung BVH-SummerEvent 2011.pdf [2011.04.26 15:56:57 | 005,284,067 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_3276.JPG [2011.04.26 15:54:51 | 005,636,768 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_2638.JPG [2011.04.26 15:54:28 | 008,137,011 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_2464.JPG [2011.04.26 15:51:55 | 004,768,557 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_1970.JPG [2011.04.26 15:49:32 | 004,767,688 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_1765.JPG [2011.04.26 15:44:07 | 001,541,385 | ---- | M] () -- C:\Users\Alexander\Desktop\(102).JPG [2011.04.26 11:24:31 | 002,992,672 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2 C:\Users\Alexander\Desktop\*.tmp files -> C:\Users\Alexander\Desktop\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.05.06 02:35:13 | 000,000,776 | ---- | C] () -- C:\Users\Alexander\Desktop\NTREGOPT.lnk [2011.05.06 02:35:13 | 000,000,757 | ---- | C] () -- C:\Users\Alexander\Desktop\ERUNT.lnk [2011.05.06 02:03:19 | 000,377,282 | ---- | C] () -- C:\Users\Alexander\Desktop\Load.exe [2011.05.06 02:03:06 | 000,100,686 | ---- | C] () -- C:\Users\Alexander\Desktop\4.JPG [2011.05.06 02:02:21 | 000,100,686 | ---- | C] () -- C:\Users\Alexander\Desktop\3.JPG [2011.05.06 02:01:42 | 000,132,005 | ---- | C] () -- C:\Users\Alexander\Desktop\2.JPG [2011.05.06 02:01:13 | 000,163,298 | ---- | C] () -- C:\Users\Alexander\Desktop\1.JPG [2011.05.06 00:24:21 | 000,041,968 | ---- | C] () -- C:\Users\Alexander\Desktop\Trojaner Bild 2.JPG [2011.05.06 00:23:48 | 000,042,051 | ---- | C] () -- C:\Users\Alexander\Desktop\Trojaner Bild 1.JPG [2011.05.05 16:13:37 | 000,057,846 | ---- | C] () -- C:\Users\Alexander\Desktop\l.jpg [2011.04.29 19:41:17 | 000,757,553 | ---- | C] () -- C:\Users\Alexander\Desktop\Kündigung Alexander Müller.jpg [2011.04.28 01:17:01 | 001,663,849 | ---- | C] () -- C:\Users\Alexander\Desktop\TalentEvent 2011.pdf [2011.04.28 00:51:36 | 003,730,900 | ---- | C] () -- C:\Users\Alexander\Desktop\Newsletter.pdf [2011.04.28 00:51:17 | 005,528,058 | ---- | C] () -- C:\Users\Alexander\Desktop\Einladung BVH-SummerEvent 2011.pdf [2011.04.26 15:56:29 | 005,284,067 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_3276.JPG [2011.04.26 15:54:29 | 005,636,768 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_2638.JPG [2011.04.26 15:53:55 | 008,137,011 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_2464.JPG [2011.04.26 15:51:25 | 004,768,557 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_1970.JPG [2011.04.26 15:48:34 | 004,767,688 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_1765.JPG [2011.04.26 15:43:23 | 001,541,385 | ---- | C] () -- C:\Users\Alexander\Desktop\(102).JPG [2010.02.25 17:12:43 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat [2010.02.11 06:49:31 | 000,000,466 | RHS- | C] () -- C:\ProgramData\ntuser.pol [2010.02.04 15:14:19 | 000,000,106 | ---- | C] () -- C:\ProgramData\bbbotsoftid.ini [2010.01.31 17:52:22 | 000,015,873 | ---- | C] () -- C:\Windows\SysWow64\Inetde.dll [2009.12.10 09:44:04 | 001,448,408 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2009.10.20 13:08:50 | 000,117,248 | ---- | C] () -- C:\Windows\SysWow64\EhStorAuthn.dll [2009.10.20 13:08:06 | 000,107,612 | ---- | C] () -- C:\Windows\SysWow64\StructuredQuerySchema.bin [2009.10.20 13:07:31 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2009.10.18 05:40:27 | 000,002,717 | ---- | C] () -- C:\Users\Alexander\AppData\Roaming\SAS7_000.DAT [2009.10.13 16:20:21 | 000,000,680 | ---- | C] () -- C:\Users\Alexander\AppData\Local\d3d9caps.dat [2009.07.05 18:46:24 | 000,000,125 | -HS- | C] () -- C:\ProgramData\.zreglib [2009.06.20 21:41:24 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2009.06.02 05:22:26 | 000,221,184 | ---- | C] () -- C:\Windows\SysWow64\CGRegister.exe [2009.06.02 05:22:26 | 000,000,039 | ---- | C] () -- C:\Windows\SysWow64\WinPPAddress.ini [2009.06.02 05:22:25 | 000,598,016 | ---- | C] () -- C:\Windows\SysWow64\ImageProcess.dll [2009.06.02 05:22:25 | 000,176,128 | ---- | C] () -- C:\Windows\SysWow64\VideoPlayer.dll [2009.06.02 05:22:25 | 000,131,072 | ---- | C] () -- C:\Windows\SysWow64\TransSaveStatus.dll [2009.04.14 09:06:50 | 000,466,944 | ---- | C] () -- C:\Windows\ssndii.exe [2009.04.09 17:33:35 | 000,158,208 | ---- | C] () -- C:\Users\Alexander\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.04.09 00:48:23 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2009.04.09 00:00:28 | 000,146,432 | ---- | C] () -- C:\Windows\SysWow64\APOMngr.DLL [2009.04.09 00:00:28 | 000,072,704 | ---- | C] () -- C:\Windows\SysWow64\CmdRtr.DLL [2009.04.06 21:34:06 | 000,001,460 | ---- | C] () -- C:\Users\Alexander\AppData\Local\d3d9caps64.dat [2008.12.12 23:15:57 | 000,018,904 | ---- | C] () -- C:\Windows\SysWow64\StructuredQuerySchemaTrivial.bin [2008.01.21 04:49:10 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini [2006.11.02 17:35:48 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 14:37:14 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat [2006.11.02 14:24:17 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT [2006.11.02 14:18:17 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat [2006.11.02 11:47:54 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin ========== LOP Check ========== [2010.12.13 11:59:08 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Auslogics [2010.12.11 03:14:29 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Azureus [2010.11.20 22:47:30 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\BITS [2011.01.24 02:51:14 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\BOM [2010.05.04 23:57:10 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\capella-software [2011.05.05 22:57:26 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Cyoca [2009.10.17 21:47:44 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\DAEMON Tools Lite [2010.10.01 04:44:16 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\de.myphotobook.creator.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1 [2011.05.06 02:31:57 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Dropbox [2009.04.09 13:44:51 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\ESET [2010.03.01 13:46:09 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\GetRightToGo [2011.01.16 00:55:29 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Gutscheinmieze [2010.10.06 02:10:07 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Jpeg Resampler [2009.04.09 18:03:05 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\mobackups [2010.11.01 02:07:01 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\MP3SkypeRecorder [2009.10.19 16:09:35 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Nokia [2009.10.17 22:00:13 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Nuance [2009.10.19 16:09:42 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\PC Suite [2009.10.18 06:15:01 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\SharePod [2011.03.13 20:56:28 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\TeamViewer [2010.12.09 04:59:31 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Yvap [2011.05.01 02:08:59 | 000,000,518 | ---- | M] () -- C:\Windows\Tasks\NatSpeak Periodic Acoustic Optimization.job [2011.05.05 03:00:08 | 000,000,532 | ---- | M] () -- C:\Windows\Tasks\NatSpeak Periodic Language Model Optimization.job [2011.05.06 02:27:58 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010.11.01 02:07:22 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin [2009.04.09 00:42:34 | 000,000,000 | ---D | M] -- C:\ATI [2011.04.27 02:15:16 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2006.11.02 17:41:02 | 000,000,000 | -HSD | M] -- C:\Documents and Settings [2009.04.06 21:32:01 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen [2009.06.17 04:07:26 | 000,000,000 | ---D | M] -- C:\Live!Cam [2009.04.09 17:38:22 | 000,000,000 | RH-D | M] -- C:\MSOCache [2008.01.21 05:03:26 | 000,000,000 | ---D | M] -- C:\PerfLogs [2009.04.10 19:59:41 | 000,000,000 | ---D | M] -- C:\profiles [2010.08.15 00:03:02 | 000,000,000 | R--D | M] -- C:\Programme [2011.05.06 02:35:12 | 000,000,000 | R--D | M] -- C:\Program Files (x86) [2011.01.18 03:54:10 | 000,000,000 | -H-D | M] -- C:\ProgramData [2009.04.06 21:32:01 | 000,000,000 | -HSD | M] -- C:\Programme [2008.08.13 00:23:10 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.05.06 02:42:42 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2010.10.06 01:18:10 | 000,000,000 | R--D | M] -- C:\Users [2011.05.06 02:38:34 | 000,000,000 | ---D | M] -- C:\Windows [2010.03.01 15:01:53 | 000,000,000 | ---D | M] -- C:\WinSetupFromUSB < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2008.12.12 23:58:28 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_b5f700fe698beb14\explorer.exe [2008.12.12 23:58:27 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_b7eb106e66a7ac19\explorer.exe [2008.12.12 23:58:28 | 003,087,360 | ---- | M] (Microsoft Corporation) MD5=50514057C28A74BAC2BD04B7B990D615 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_aba256ac352b2919\explorer.exe [2008.12.12 23:58:27 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_b8583e9d7fda0512\explorer.exe [2009.04.11 09:10:17 | 003,079,168 | ---- | M] (Microsoft Corporation) MD5=6B08E54A451B3F95E4109DBA7E594270 -- C:\Windows\explorer.exe [2009.04.11 09:10:17 | 003,079,168 | ---- | M] (Microsoft Corporation) MD5=6B08E54A451B3F95E4109DBA7E594270 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_afbebba22f3bab41\explorer.exe [2008.12.12 23:58:28 | 003,086,848 | ---- | M] (Microsoft Corporation) MD5=72B9990E45C25AA3C75C4FB50A9D6CE0 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_ac5266dd4e2b0a41\explorer.exe [2008.12.12 23:58:27 | 003,080,704 | ---- | M] (Microsoft Corporation) MD5=BBD8E74F23D7605CB0CDB57A1B25D826 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_ad96661c3246ea1e\explorer.exe [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\SysWOW64\explorer.exe [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_ba1365f4639c6d3c\explorer.exe [2008.12.12 23:58:27 | 003,081,216 | ---- | M] (Microsoft Corporation) MD5=E404A65EF890140410E9F3D405841C95 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_ae03944b4b794317\explorer.exe [2008.12.12 23:58:28 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_b6a7112f828bcc3c\explorer.exe [2008.01.21 04:47:50 | 003,080,704 | ---- | M] (Microsoft Corporation) MD5=F6D765FB6B457542D954682F50C26E4F -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_add342963219dff5\explorer.exe [2008.01.21 04:48:30 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_b827ece8667aa1f0\explorer.exe < MD5 for: REGEDIT.EXE > [2008.01.21 04:48:58 | 000,161,792 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\regedit.exe [2008.01.21 04:49:35 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\SysWOW64\regedit.exe [2008.01.21 04:49:35 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\winsxs\wow64_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_5aa1fb3ac896d9c8\regedit.exe [2008.01.21 04:48:58 | 000,161,792 | ---- | M] (Microsoft Corporation) MD5=5DFBCE56E689D90AE9E2FB278F80058E -- C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_504d50e8943617cd\regedit.exe < MD5 for: USERINIT.EXE > [2008.01.21 04:49:40 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\SysWOW64\userinit.exe [2008.01.21 04:49:40 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe [2008.01.21 04:48:49 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\SysNative\userinit.exe [2008.01.21 04:48:49 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_384755998a0d6941\userinit.exe < MD5 for: WININIT.EXE > [2008.01.21 04:47:10 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\SysWOW64\wininit.exe [2008.01.21 04:47:10 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe [2008.01.21 04:49:28 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\SysNative\wininit.exe [2008.01.21 04:49:28 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_8d115452bcae17d8\wininit.exe < MD5 for: WINLOGON.EXE > [2009.04.11 09:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\SysNative\winlogon.exe [2009.04.11 09:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_cdcd15a68a70b877\winlogon.exe [2008.01.21 04:48:54 | 000,406,016 | ---- | M] (Microsoft Corporation) MD5=856491FCED98093D824B9EB2892F564A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_cbe19c9a8d4eed2b\winlogon.exe [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SysWOW64\winlogon.exe [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe [2008.01.21 04:49:41 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > < > ========== Alternate Data Streams ========== @Alternate Data Stream - 72 bytes -> C:\Windows:00DD0A2B44F29988 @Alternate Data Stream - 164 bytes -> C:\ProgramData\TEMP:0CE7F3C9 @Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:63238B95 @Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:F35A93AD @Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:07BF512B @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:664FE078 < End of report > Ich habe zwar nicht die geringste Ahnung, was das alles auf sich hat, vertraue aber auf Eure Kompetenz und freue mich riesig auf Post/Kommentare von Euch. Bis dahin verbleibe ich erst einmal mit den besten Grüßen Euer Alexander |
06.05.2011, 10:49 | #2 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe hallo,
__________________machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
__________________ |
06.05.2011, 13:48 | #3 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Jupp. Eigentlich schon. Onlinebanking allerdings mit nummerierten Tans, so dass da so gut wie nichts passieren kann. Allerdings bezahl ich so einige Sachen mit paypal oder Kreditkarte online. Die Frage nach Sonst was wichitgem ist mir allerdings nicht spezifiziert genug, um sie beantworten zu können. Ich schreibe wissenschaftliche Arbeiten, bearbeite Bilder, schneide Videos, etc.. Das ist zwar für mich recht wichtig, aber nicht unbedingt wichtig für andere Leute, die daraus möglicherweise Kapital schlagen könnten...
__________________Ich habe heute eine weitere Warnung von ESET bekommen, in der der gleiche Trojaner (C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe) als win32/injector.geg ausgegeben wurde... (nur zur Info) Geändert von burningwreck (06.05.2011 um 14:04 Uhr) |
06.05.2011, 14:17 | #4 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe hi, tan nummern sind das unsicherste online-banking verfahren was es gibt. desweiteren sieht mir dieser trojaner sehr nach einem aus, der es auf deine bank daten abgesehen hatt, sowie paypal etc. bitte rufe sofort!! die bank an, lasse das onlinebanking sperren. falls die bank zu hatt, notfall nummer: 116 116 schildere dein problem dort. ich werde dir später auch erklären welches onlinebanking verfahren du nutzen solltest. falls du hast, nutze einen zweiten pc, endere alle passwörter jetzt haben wir, bzw du folgendes problem. solch ein trojaner kann weit reichende enderungen am system vor nehmen. deswegen ist eine bereinigung nicht sicher. da wir nicht ausschließen können, das wir etwas übersehen bzw sich etwas gut versteckt. du solltest daher um ein sicheres system zu erhalten folgendes tun: - die daten, die sich auf der partition befinden wo windows läuft sichern, dazu gehören persönliche daten wie bilder dokumente musik und instalationsdateien. nichts, was du evtl. aus dubiosen quellen hast wie filesharing (torrent) zt. keine keygens etc. danach ist das formatieren des rechners angesagt und neu aufsetzen. danach sollten wir, falls du interesse hast, dein system richtig absichern. ein antiviren programm ist in der heutigen zeit und bei der menge an malware und gefahren im internet nicht genug, es müssen noch mehr maßnamen getroffen werden, heißt, dein antivirus ist nur ein baustein in einem gesammten sicherheitskonzept.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
06.05.2011, 14:34 | #5 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Ach du Scheiße! Das klingt ja gar nicht gut... Ich habe 3 Partitionen, auf denen jeweils ein anderes Windows läuft (XP, Vista, 7). Wenn ich die persönlichen Dateien gesichert habe und die komplette Vista-Partition (die infizierte) lösche, kann ich dann mit meiner Win 7 weiterarbeiten? |
06.05.2011, 15:32 | #6 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe ja, denke schon, trotzdem sollten wir uns um ein sicheres system kümmern befor das noch mal passiert.
__________________ --> kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe |
06.05.2011, 15:43 | #7 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Auf jeden Fall. Bin Dir echt dankbar und werde mich wieder melden, wenn ich auf alles auf win 7 neu installiert habe, was ich so brauche. Dauert wohl nicht länger als ein paar Stunden, hoffe ich. Bis später also... |
06.05.2011, 16:15 | #8 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe bis später, und überhaupt kein problem.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
07.05.2011, 18:15 | #9 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Moin Markus, ich denke, dass ich Dank Deiner Hilfe nun das Gröbste überstanden habe. Auf der neu eingerichteten Win7-Partition ist nichts zu finden, so dass ich mit an Sicherheit grenzender Wahrscheinlichkeit sagen aknn, dass meine Kiste wieder sauber ist. Nun möchte ich gern auf Dein Angebot zugrückkommen und meinen Rechner gegen eine mögliche Neuinfizierung absichern. Was sagt also das Kompetenzteam dazu? ;-) Was muss ich tun? Liebe Grüße, Alex |
08.05.2011, 10:30 | #10 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe kurze frage noch, nutzt du dort ebenfalls eset oder wird ein anderes av zum einsatz kommen? ich persönlich hab nichts gegen eset einzuwenden, ist nur ne frage damit ich weis ob ein av in meiner anleitung notwendig ist.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.05.2011, 19:57 | #11 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Eset ist weiterhin drauf ;-) |
08.05.2011, 20:31 | #12 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe av http://www.trojaner-board.de/96344-a...-rechners.html hier alle!! tipps für xp /windows 7abarbeiten. anstelle des ie8 instaliere ie9 Internet Explorer - Microsoft Windows zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten. anmerkungen meiner seits: als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken. eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus. kenne keine malware, die das im moment kann. dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden. hier greifen nämlich mehrere maßnamen. - updates von windows. durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann. - updates mit secunia und file hippo. diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken. die updates sollten immer sofort instaliert werden. hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen. natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken. deswegen: eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen. hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen. uac: die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken. dep und sehop tun dies ebenfalls. - sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin. - antivirus: auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen. es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher. es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist. das backup: dieses kannst du nutzen, wenn: - malware auf dem system ist - es andere probleme mit dem pc gibt. mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.05.2011, 22:06 | #13 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Auch wenn ich mit Opera einigermaßen vertraut bin, so bin ich seit Jahren eigentlich großer Fan von Firefox. Hast du dafür ne fertige Anleitung? Ich möchte Dir nicht zu viel Arbeit aufhalsen... |
09.05.2011, 10:22 | #14 |
/// Malware-holic | kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe nein das macht mir nicht mehr arbeit. instaliere für den firefox die adons noscript und adblock+ sie sind in meiner original anleitung. hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. danach Sandboxie anleitung für den ff: Download: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
09.05.2011, 10:42 | #15 |
| kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe Großes Kino... Also auf in den Krieg... Wenn ich mit allem fertig bin, dann melde ich mich wieder. Bei der Hülle und Füller der Anleitungen kann das aber sicher nen tag dauern ;-) |
Themen zu kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe |
adobe, alternate, autorun, bho, c:\windows\system32\rundll32.exe, conduit, cs4/contributeieplugin.dll, defender, error, erste mal, eset smart security, explorer, firefox, format, hängen, langs, location, logfile, mozilla, mozilla thunderbird, oldtimer, pdf, plug-in, problem, realtek, registry, rundll, searchplugins, security, senden, server, software, sptd.sys, start menu, syswow64, temp, trojaner, trojaner kryptik nit auf computer, vista, warnung, winlogon.exe, {dfefcdee-cf1a-4fc8-88ad-48514e463b27} |