Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mit Kaspersky gegen BKA-Trojaner... (https://www.trojaner-board.de/101106-kaspersky-gegen-bka-trojaner.html)

Kritty 07.07.2011 17:37
Mit Kaspersky gegen BKA-Trojaner...
 
Hallo liebe Leute,

ich habe mir den berühmt-berüchtigten BKA-Trojaner nun auch eingefangen.

Nach Recherche habe ich die erste Methode versucht, über die ich gestolpert bin - ich habe eine Avira .iso Datei benutzt, habe ge-rebootet auf dem infizierten Laptop und einen Scan gemacht. Nach dem Scan sollte ich den log speichern. Mir wurden vom PC nur zwei Ordner angeboten, ich musste in eben den Ordnern die Datei speichern.
Ich habe einen Neustart durchgeführt und - wie erwartet war der BKA-Bildschirm noch nicht weg. Das hatte ich erwartet, da es so angekündigt wurde von diversen Leuten.

Methode zwei habe ich gerade in Angriff genommen - mit der Kaspersky Rescue CD. Ich habe im Textmodus hochgeladen und bin dann auf "Alle Objekte untersuchen". Ich nehme an, das ist wie der vollständige Scan beim avira-Teil,oder? Gerade scant und scant er und hin und wieder fragt er mich folgendes:

"Skip" (S), "Delete Archive" (V) und "Delete" (L)
Theoretisch müsste sich es hier um die befallenen Dateien handeln,oder? Allerdings scheint er mir Vorschläge zu geben, da hinter den "Antwort"möglichkeiten ein vorgeschlagener Buchstabe steht. Ich sehe auch nicht bei allen entdeckten Dateien ein "...[...] detected Trojan-Downloader"(oder derartiges). Wie weiß ich,ob es sich tatsächlich um befallene DAteien handelt? Bisher habe ich alle Java-Dinger löschen lassen,erstens weil da seltsame Sachen dabei standen (Trojan..) und zweitens weil beim ersten Scan mit dem Avira-Reboot dutzende befallen Java-Dateien gefunden wurden.

Und...ehm...was soll ich machen, wenn der Scan (wenn es denn einer ist?!) vorüber ist? Ich habe mich hier durchs Forum gewälzt und viele viele Möglichkeiten gefunden aber ich finde alles sehr verwirrend. Ich kenne mich nicht soooo sonderlich aus, bitte in einer "Sprache für Dummies" antworten. (oder so...^___^')

Achja: Stick, zwei CD-RWs und ein zweiter Laptop Internetzugang sind vorhanden. Noch :-)

Vielen vielen Dank im Voraus,
Kritty

PS: Mir fällt gerade ein - beim ersten Scan mit Avira habe ich im Nachhinein festgestellt,dass beim Scanner eingestellt war "Befallene Dateien reparieren" und nicht "Befallene Dateien löschen". Hätte ich das umstellen müssen? Sollte ich den jetztigen Scan abbrechen bzw durchlaufen lassen und dann den Avira-Scan wiederholen und aber die obige Option umändern?
Beste Grüße.

Update:
Der Scan mit Kaspersky ist vollständig durchgelaufen, es wurde Einiges erkannt und gelöscht. Allerdings wurde ich dann nicht gefragt, ob ich irgendetwas speichern wolle (wasweißich, ein log oder so......) und ich hatte selbst keine Ahnung, was ich nun machen sollte. Ich habe wieder einmal neugestartet und leider hat sich nichts geändert. Aktuell bereite ich Methode Drei vor, mit OTLP -weiß aber nicht, ob ich das hinbekommen werde weil ich so langsam ziemlich verwirrt bin.

Wäre erfreut über eine baldige Schritt-für-Schritt Anleitung für Unbegabte ;-)

Ganz liebe Grüße,
Kritty

Hallo,

ich habe schon im anderen Thread etwas geschrieben, entschuldigt bitte falls das ein Fehler war.

Inzwischen ist meine Rettungsaktion etwas weiter fortgeschritten, ich bin bei Versuch 3, bei der OTL-Methode.

Ich habe einen OTLPE-Scan gemacht und jetzt habe ich eine .txt-Datei.

Wie kann ich die hier anfügen?

...

Ich versuche es einfach mal als Zitat...:wtf::rolleyes:

OTL Logfile:
Code:
OTL logfile created on: 7/7/2011 9:36:07 PM - Run
OTLPE by OldTimer - Version 3.1.47.1 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,014.00 Mb Total Physical Memory | 816.00 Mb Available Physical Memory | 80.00% Memory free
902.00 Mb Paging File | 840.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 62.50 Gb Total Space | 19.69 Gb Free Space | 31.51% Space Free | Partition Type: NTFS
Drive D: | 12.03 Gb Total Space | 11.96 Gb Free Space | 99.47% Space Free | Partition Type: NTFS
Drive E: | 3.72 Gb Total Space | 0.03 Gb Free Space | 0.83% Space Free | Partition Type: FAT32
Drive X: | 436.60 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010/03/25 14:07:00 | 000,147,472 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe -- (McShield)
SRV - [2010/03/25 14:07:00 | 000,070,728 | ---- | M] (McAfee, Inc.) [Auto] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2010/03/25 14:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe -- (McTaskManager)
SRV - [2010/03/25 14:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe -- (McAfeeEngineService)
SRV - [2009/08/25 10:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2009/01/13 05:28:46 | 001,528,608 | ---- | M] (Cisco Systems, Inc.) [Auto] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2008/11/07 10:40:52 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007/12/18 05:15:00 | 000,104,960 | ---- | M] (ArcSoft) [Auto] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2004/10/21 21:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [1856/12/31 21:00:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
SRV - [1856/12/31 21:00:00 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (UIUSys)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2010/03/25 14:07:00 | 000,343,920 | ---- | M] (McAfee, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2010/03/25 14:07:00 | 000,091,832 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2010/03/25 14:07:00 | 000,075,704 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2010/03/25 14:07:00 | 000,066,600 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2010/03/25 14:07:00 | 000,064,208 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2010/03/25 14:07:00 | 000,043,288 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2009/01/13 05:27:38 | 000,306,811 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2008/09/26 03:53:00 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008/09/26 03:52:00 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008/09/26 03:52:00 | 000,010,384 | ---- | M] (Logitech, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2008/08/28 11:17:38 | 000,131,856 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2008/04/13 19:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2008/01/24 02:05:24 | 000,327,296 | R--- | M] (AfaTech ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AF15BDA.sys -- (AF15BDA)
DRV - [2007/11/14 12:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2007/01/18 13:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2006/12/08 07:57:42 | 012,008,064 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\snp2sxp.sys -- (SNP2STD) USB2.0 PC Camera (SNP2STD)
DRV - [2006/11/10 10:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2006/01/31 04:37:34 | 000,018,560 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PCASp50.sys -- (PCASp50)
DRV - [2005/12/19 03:08:26 | 000,033,664 | ---- | M] (CACE Technologies) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\BCMWLNPF.SYS -- (BCMWLNPF)
DRV - [2005/12/09 10:39:16 | 000,067,840 | ---- | M] (Novatel Wireless Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NWADIenum.sys -- (NWADI)
DRV - [2005/11/16 09:36:00 | 001,047,816 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2005/11/02 07:24:42 | 000,424,320 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
DRV - [2005/10/26 04:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005/09/28 14:57:18 | 000,113,847 | R--- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2005/05/13 11:27:56 | 000,028,672 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbccid.sys -- (USBCCID)
DRV - [2005/02/11 04:24:24 | 000,079,488 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex)
DRV - [2005/02/11 04:22:48 | 000,081,728 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005/02/11 04:21:10 | 000,089,872 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005/02/11 04:21:02 | 000,006,576 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005/02/11 04:19:20 | 000,055,216 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)
DRV - [2001/08/22 02:42:58 | 000,013,632 | ---- | M] (Dell Computer Corporation) [Kernel | System] -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS -- (OMCI)
DRV - [1997/12/22 21:02:46 | 000,023,936 | ---- | M] (Adaptec) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Chrissi_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\hans_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010/03/03 10:59:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/02/05 18:33:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/12/10 10:18:57 | 000,000,000 | ---D | M]
 
[2011/05/05 16:31:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/05/05 16:31:39 | 000,000,000 | ---D | M] (ScanQuery) -- C:\Programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}
[2010/03/25 14:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\mozilla firefox\components\Scriptff.dll
[2010/10/19 08:05:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/10/19 08:05:58 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010/10/19 08:05:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/10/19 08:05:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/10/19 08:05:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/13 23:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (ShoppingReport2) - {258C9770-1713-4021-8D7E-1F184A2BD754} - File not found
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [4shared Update] C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\Geschichten\4shared Desktop\checkUpdate.exe (New IT Solutions)
O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [boincmgr] C:\Programme\BOINC\boincmgr.exe (Space Sciences Laboratory)
O4 - HKLM..\Run: [boinctray] C:\Programme\BOINC\boinctray.exe (Space Sciences Laboratory)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\udaterui.exe (McAfee, Inc.)
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\stsystra.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe (Sonix)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKU\Administrator_ON_C..\Run: [H/PC Connection Agent] File not found
O4 - HKU\Chrissi_ON_C..\Run: [{148F6706-06BF-CC59-BD98-E38A66A12C48}] File not found
O4 - HKU\Chrissi_ON_C..\Run: [4E3E0230AEBB4E96] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Remote Control.lnk = C:\Programme\MSI\DigiVox Duo Utilities\AFRCtl.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TMMonitor.lnk = C:\Programme\MSI\TotalMedia 3.5\TMMonitor.exe (ArcSoft, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\Chrissi\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Chrissi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\hans_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - File not found
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240567632167 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Chrissi\LOKALE~1\Temp\0.2896826235063046.exe) - C:\Dokumente und Einstellungen\Chrissi\Lokale Einstellungen\Temp\0.2896826235063046.exe (BitDefender)
O20 - HKU\Chrissi_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\hotfix.exe) - File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/04/23 13:39:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: attrsfc - (C:\WINDOWS\system32\findpers.dll) - File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/07/07 13:54:54 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2011/06/30 15:18:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2011/06/30 15:13:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\PhotoScape
[2011/06/30 15:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\XnView
[2011/06/30 15:12:31 | 000,000,000 | ---D | C] -- C:\Programme\PhotoScape
[2011/06/30 15:10:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XnView
[2011/06/30 15:09:59 | 000,000,000 | ---D | C] -- C:\Programme\XnView
[2011/06/30 15:07:33 | 011,434,428 | ---- | C] (Gougelet Pierre-e ) -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\XnView-1981win-full-de.exe
[2011/06/30 15:07:27 | 017,327,195 | ---- | C] (Mooii) -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\PhotoScapeSetup_V3.5.exe
[2011/06/21 03:26:12 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010/08/06 15:24:54 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2std.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/07/07 13:52:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/07/07 13:46:24 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/07 13:36:40 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1844237615-1897051121-1417001333-1008.job
[2011/07/07 13:36:39 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011/07/07 13:36:38 | 000,000,296 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-507921405-1844823847-682003330-1703.job
[2011/07/07 07:58:40 | 000,001,897 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\Entfernen des Avira DE-Cleaners.lnk
[2011/07/07 07:58:40 | 000,001,826 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\Avira DE-Cleaner.lnk
[2011/07/06 11:18:44 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011/07/06 11:02:03 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011/07/03 06:16:36 | 000,767,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\spn__the_adventures_of_ben_by_gi_ace-d32ep57.png
[2011/07/03 06:05:59 | 000,233,744 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\have_a_little_faith__dean_by_glaringstar-d33fkic.jpg
[2011/07/01 12:15:40 | 000,225,924 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\once_by_kakilily-d37jox6.jpg
[2011/07/01 08:38:26 | 000,056,642 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\7618646-md.jpg
[2011/06/30 15:13:43 | 000,000,678 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\PhotoScape.lnk
[2011/06/30 15:13:17 | 000,000,586 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\XnView.lnk
[2011/06/30 15:10:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XnView
[2011/06/30 15:07:46 | 017,327,195 | ---- | M] (Mooii) -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\PhotoScapeSetup_V3.5.exe
[2011/06/30 15:07:35 | 011,434,428 | ---- | M] (Gougelet Pierre-e ) -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\XnView-1981win-full-de.exe
[2011/06/30 10:09:03 | 000,000,282 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1844237615-1897051121-1417001333-1008.job
[2011/06/29 10:00:00 | 000,000,304 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-507921405-1844823847-682003330-1703.job
[2011/06/28 16:14:41 | 000,018,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/06/21 10:24:30 | 009,679,210 | ---- | M] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\Rachmaninoff Piano Concerto No.2 1st Mvt.mp3
[2011/06/21 03:30:08 | 000,453,030 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/06/21 03:30:08 | 000,436,080 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/06/21 03:30:08 | 000,081,810 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/06/21 03:30:08 | 000,068,976 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/06/17 04:12:53 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011/06/12 13:08:20 | 000,002,295 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/07/07 07:39:53 | 000,001,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\Entfernen des Avira DE-Cleaners.lnk
[2011/07/07 07:39:53 | 000,001,826 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\Avira DE-Cleaner.lnk
[2011/07/03 06:16:36 | 000,767,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\spn__the_adventures_of_ben_by_gi_ace-d32ep57.png
[2011/07/03 06:05:58 | 000,233,744 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\have_a_little_faith__dean_by_glaringstar-d33fkic.jpg
[2011/07/01 12:15:39 | 000,225,924 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\once_by_kakilily-d37jox6.jpg
[2011/07/01 08:38:26 | 000,056,642 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\7618646-md.jpg
[2011/06/30 15:13:43 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\PhotoScape.lnk
[2011/06/30 15:13:25 | 000,001,090 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011/06/30 15:13:22 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011/06/30 15:10:24 | 000,000,586 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Desktop\XnView.lnk
[2011/06/21 10:23:58 | 009,679,210 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Eigene Dateien\Rachmaninoff Piano Concerto No.2 1st Mvt.mp3
[2011/02/10 05:06:16 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011/01/05 06:45:42 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2010/12/21 13:18:02 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/11/28 16:41:30 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010/09/06 14:31:20 | 000,001,269 | ---- | C] () -- C:\WINDOWS\hpbvnstp.ini
[2010/09/06 14:30:56 | 000,192,512 | R--- | C] () -- C:\WINDOWS\System32\HPB2550V.DLL
[2010/09/06 14:30:56 | 000,000,311 | R--- | C] () -- C:\WINDOWS\System32\HPB2550V.DAT
[2010/08/06 15:24:56 | 012,008,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2sxp.sys
[2010/08/06 15:24:56 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2std.ini
[2010/08/06 15:24:55 | 000,025,344 | ---- | C] () -- C:\WINDOWS\System32\drivers\sncamd.sys
[2010/07/26 15:34:26 | 000,000,083 | ---- | C] () -- C:\WINDOWS\CIV.INI
[2010/06/28 09:31:52 | 000,018,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/06/27 04:54:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/06/27 04:41:34 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\$_hpcst$.hpc
[2010/04/25 07:28:56 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc
[2010/01/27 09:37:16 | 000,299,008 | ---- | C] () -- C:\WINDOWS\afaunist.exe
[2010/01/27 09:37:16 | 000,001,869 | ---- | C] () -- C:\WINDOWS\TVAfaDrv.ini
[2010/01/27 09:37:01 | 000,000,224 | R--- | C] () -- C:\WINDOWS\System32\AF15IRTBL.bin
[2010/01/27 09:20:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009/08/19 11:54:31 | 001,456,640 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\Falk Navi-Manager.msi
[2009/05/08 11:25:23 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/04/24 03:12:14 | 000,757,760 | ---- | C] () -- C:\WINDOWS\System32\bcm1xsup.dll
[2009/04/24 03:12:14 | 000,018,944 | ---- | C] () -- C:\WINDOWS\System32\WLTRYSVC.EXE
[2009/04/24 03:12:13 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
[2009/04/23 14:21:05 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/04/23 14:19:53 | 000,289,296 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/04/23 13:43:03 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/04/23 13:36:29 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/01/13 05:29:00 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2009/01/13 05:28:44 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008/04/13 23:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/13 23:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/13 23:00:00 | 000,453,030 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/13 23:00:00 | 000,436,080 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/13 23:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/13 23:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/13 23:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/13 23:00:00 | 000,081,810 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/13 23:00:00 | 000,068,976 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/13 23:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/13 23:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/13 23:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/13 23:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/13 23:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/13 23:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/13 23:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/01/21 06:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2001/07/31 05:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[1856/12/31 21:00:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2010/10/03 08:06:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
[2011/05/27 06:04:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\36871
[2011/02/04 18:05:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\68528
[2011/02/10 05:15:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\Babek
[2010/12/23 04:56:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010/06/27 14:25:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\MSNInstaller
[2010/07/07 12:02:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\OpenOffice.org
[2011/04/13 09:49:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\Opera
[2011/06/30 16:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\PhotoScape
[2011/05/05 16:25:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\ShoppingReport2
[2010/10/19 10:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\TeamViewer
[2011/02/10 13:55:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\Vevuyz
[2011/06/30 16:03:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chrissi\Anwendungsdaten\XnView
[2009/09/10 16:46:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2011/07/06 11:10:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BOINC
[2010/11/07 14:38:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
[2009/05/28 16:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Novatel Wireless
[2011/05/13 03:22:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanQuery
[2010/06/24 15:56:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---




Ich hoffe ich habe jetzt nicht irgendwelche private Daten hier verbreitet...sollte das der Fall sein, mir bitte Bescheid sagen, Administratoren können ja dann bitte meinen Beitrag editieren...:eek: (Mein Vorname ist "All over the place"aber das stört mich nicht so sehr ;) )

Ich hoffe auf recht schnelle Hilfe, da meine Studienunterlagen in Gefahr sind.

Vielen vielen Dank im Voraus,
herzlichste Grüße
Kritty

markusg 09.07.2011 11:00
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
:OTL
O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Chrissi\LOKALE~1\Temp\0.2896826235063046.exe) - C:\Dokumente und Einstellungen\Chrissi\Lokale Einstellungen\Temp\0.2896826235063046.exe
(BitDefender)
:Files
C:\Dokumente und Einstellungen\Chrissi\Lokale Einstellungen\Temp\0.2896826235063046.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Kritty 09.07.2011 13:25
Hallo!

Vielen vielen Dank für die Antwort - und Entschuldigung was die PNs betrifft...


Also, ich habe einen Fix gemacht und alles was du gesagt hast - Windows hat endlich mit einem (sehr) eingeschränktem Desktop gestartet, zumindest ist der BKA-Hintergrund jetzt weg.

Der Log hat sich NICHT automatisch geöffnet, aber ich habe mich auf die Suche gemacht und bei _OTL (oder so ähnlich) die MovedFiles gefunden. Habe sie gezipped und hänge sie jetzt an.

War das richtig? Oder...hab ich was falsch gemacht?

DANKE nochmal.
Grüße,
Kritty

markusg 09.07.2011 13:37
nein gut war das nicht, da ist der trojaner drinnen, aber ein mod wirds löschen.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

dann neustarten desktop sollte wieder funktionieren.

Kritty 09.07.2011 17:20
OH.

Verdammt, das tut mir aber sehr leid, wirklich :-(

Dabei hab ich den Inhalt des Sticks auf einem anderen PC gescannt gehabt und es wurde nix entdeckt.

Okay. Hoffe ich hab nichts Ungutes hier angerichtet...:stirn:

Ich werde mir die Anleitung in Ruhe durchlesen, und das morgen fürh erledigen.

Eine Frage - in der Anleitung steht, der ComboFix betrifft Temporäre Internetdateien. Betrifft den Verlauf, also NICHT die gespeichterten Favoriten? Und ich habe es bei Opera so eingestellt gehabt, dass immer die Registerkarten geöffnet werden, die auch beim Schließen noch offen waren. Gehen die ebenfalls verloren, zählen die als "Temporäre Internetdateien" ?
Mag eine dümmliche Frage sein aber ich bin wie gesagt kein Computerspezialist. Hab Respekt vor euch.

Danke.
Kritty

markusg 09.07.2011 18:51
deine zuletzt gespeicherten seiten sowie vaforiten sollten nicht betroffen sein.
und du weist doch, dumme fragen gibts nicht

Kritty 10.07.2011 10:48
Okay, danke.

Zum Combo-Fix:

Ich habe mir ComboFix.exe heruntergeladen, allerdings ist es jetzt auf diesem Computer (der vollkommen gesund ist) - soll ich die Datei per USB-Stick auf meinen Trojaner-Laptop übertragen? Da kann ich die Datei allerdings nicht aufs Desktop tun....wie ist das gedacht? Ich kann auch nicht alle Fenster öffnen, wenn ich ComboFix starten möchte. Ich sollte aber doch ComboFix auf meinem "kranken" Laptop starten, macht doch sonst keinen Sinn. Oder?

Desweiteren : Ist das normal, dass mein Desktop in diesem Stadium so aussieht: nur "Eigene Dateien" da wo normalerweise der Start-button ist? Ansonsten überhaupt nirgends etwas...^^



EDIT: Ehm, ich hab nun entdeckt wie ich ins Internet gelange mit meinem Desktop in diesem seltsamen Zustand^^. Hat sich also soweit erledigt. Werde jetzt den ComboFix in Angriff nehmen...

Kritty 10.07.2011 11:43
Sooo.

Jetzt habe ich das mit dem ComboFix gemacht.
(Rein interessehalber- welche Arten von Dateien/Dinge wurden da denn jetzt gelöscht? Gefährliche, infizierte Dinge? Sollte ich wissen welche Dateien genau, oder sind das nicht diese Arten von Dateien die auffallen wenn sie fehlen?^^)
Das Desktop ist wieder da :applaus::applaus::applaus:

Hier der ComboFix-log:


Combofix Logfile:
Code:
ComboFix 11-07-10.01 - Chrissi 10.07.2011  12:15:47.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.638 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chrissi\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScanQuery
c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\ShoppingReport2
c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\ShoppingReport2\cs\Config.xml
c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\Vevuyz\qaoh.exe
c:\dokumente und einstellungen\Chrissi\WINDOWS
c:\programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}
c:\programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}\chrome.manifest
c:\programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}\chrome\scanquery.jar
c:\programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}\defaults\preferences\prefs.js
c:\programme\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}\install.rdf
c:\programme\ScanQuery
c:\programme\ScanQuery\uninstall.exe
c:\programme\ShoppingReport2
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe.vir
c:\windows\IsUn0407.exe
c:\windows\jestertb.dll
c:\windows\system32\$winnt$.inf
c:\windows\vb.ini
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_npf
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-06-10 bis 2011-07-10  ))))))))))))))))))))))))))))))
.
.
2011-07-08 02:18 . 2011-06-27 22:37        2233856        ----a-r-        C:\OTLPE.exe
2011-07-08 02:18 . 2011-07-09 14:15        --------        d-----w-        C:\_OTL
2011-07-07 17:54 . 2011-07-07 20:21        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0
2011-06-30 19:18 . 2011-06-30 19:18        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2011-06-30 19:13 . 2011-06-30 20:02        --------        d-----w-        c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\PhotoScape
2011-06-30 19:12 . 2011-06-30 20:03        --------        d-----w-        c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\XnView
2011-06-30 19:12 . 2011-06-30 19:13        --------        d-----w-        c:\programme\PhotoScape
2011-06-30 19:09 . 2011-06-30 19:10        --------        d-----w-        c:\programme\XnView
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2009-04-23 17:37        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2008-04-14 03:00        151552        ----a-w-        c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2008-04-14 03:00        456320        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2008-04-14 03:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2008-04-14 03:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2008-04-14 03:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2008-04-14 03:00        385024        ----a-w-        c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-04-14 03:00        105472        ----a-w-        c:\windows\system32\drivers\mup.sys
2011-04-13 22:40 . 2011-04-13 22:40        4284416        ----a-w-        c:\windows\system32\GPhotos.scr
2009-08-07 12:57 . 2009-08-19 15:54        1456640        ----a-w-        c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2010-03-25 18:07 . 2010-10-17 12:59        23864        ----a-w-        c:\programme\mozilla firefox\components\Scriptff.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-12-19 1347584]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]
"SigmatelSysTrayApp"="stsystra.exe" [2005-11-16 397312]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2005-10-07 176128]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 69632]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-12-18 72192]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-03 202256]
"boincmgr"="c:\programme\BOINC\boincmgr.exe" [2010-05-14 4825856]
"boinctray"="c:\programme\BOINC\boinctray.exe" [2010-05-14 58112]
"snp2std"="c:\windows\vsnp2std.exe" [2006-12-04 675840]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-08-25 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-03-25 124224]
"4shared Update"="c:\dokumente und einstellungen\Chrissi\Eigene Dateien\Geschichten\4shared Desktop\checkUpdate.exe" [2011-03-16 608760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Chrissi\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-10-18 809488]
Remote Control.lnk - c:\programme\MSI\DigiVox Duo Utilities\AFRCtl.exe [2010-1-27 77824]
TMMonitor.lnk - c:\programme\MSI\TotalMedia 3.5\TMMonitor.exe [2010-1-27 258048]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2009-4-24 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-11-07 14:41        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\BOINC\\boinc.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer_Service.exe"=
.
R2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [2011-06-30 135664]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-03-25 66600]
S2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2008-09-26 10384]
S2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\engineserver.exe [2010-03-25 22816]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2010-03-25 70728]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-30 19:13]
.
2011-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-30 19:13]
.
2011-07-10 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1844237615-1897051121-1417001333-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-07-10 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-507921405-1844823847-682003330-1703.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-06-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1844237615-1897051121-1417001333-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-06-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-507921405-1844823847-682003330-1703.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Download All using 4shared Desktop - c:\dokumente und einstellungen\Chrissi\Eigene Dateien\Geschichten\4shared Desktop\down_all.htm
IE: &Download using 4shared Desktop - c:\dokumente und einstellungen\Chrissi\Eigene Dateien\Geschichten\4shared Desktop\down_link.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\Mozilla\Firefox\Profiles\w7hqmb5c.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: MessengerPlusLive Germany TB Toolbar: {76aeea42-e04a-4b62-83ab-df4b2be2541e} - %profile%\extensions\{76aeea42-e04a-4b62-83ab-df4b2be2541e}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-{148F6706-06BF-CC59-BD98-E38A66A12C48} - c:\dokumente und einstellungen\Chrissi\Anwendungsdaten\Vevuyz\qaoh.exe
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
AddRemove-Civilization II Ultimate Classic Collection - c:\windows\IsUn0407.exe
AddRemove-HijackThis - F:\HijackThis.exe
AddRemove-InterVideo WinDVD - c:\windows\IsUn0407.exe
AddRemove-S3 - c:\windows\IsUn0407.exe
AddRemove-ScanQuery - c:\programme\ScanQuery\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-10 12:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1352)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
- - - - - - - > 'explorer.exe'(2300)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\progra~1\ArcSoft\PHOTOI~1\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\mfeann.exe
c:\windows\system32\rundll32.exe
c:\windows\stsystra.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Apoint\HidFind.exe
c:\programme\Apoint\Apntex.exe
c:\programme\McAfee\Common Framework\McTray.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\BOINC\boinc.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-10  12:37:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-10 10:36
.
Vor Suchlauf: 12 Verzeichnis(se), 25.154.285.568 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 25.172.512.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 4D2F3DF7D1D235A80FF5BE2C05E18BE3
--- --- ---

markusg 10.07.2011 16:26
hi,
ja gefährlicher als der bka trojaner :-(
machst du onlinebanking einkäufe oder sonst was wichtiges?

Kritty 10.07.2011 17:48
Zitat:
ja gefährlicher als der bka trojaner :-(
Uhm. Muss ich mich jetzt auf etwas gefasst machen?
Ja, ich mache OnlineBanking...erinnere mich jetzt leider nicht mehr genau, ob ich diese Woche (VOR dem offensichtlichen Angriff des BKA-trojaners) aktiv war...

Normalerweise bekomme ich allerdings E-Mails wenn meine Passwörter ausgespäht wurden oder Ähnliches. Habe bisher keine dieser E-Mails bekommen (war eines der ersten Dinge die ich abgecheckt habe).

Habe gerade nachgesehen ob mein Geld noch vorhanden ist :pfeiff: - bisher ist noch alles normal....

Wie soll ich jetzt vorgehen - sind diese "schlimmer als BKA-Trojaner"-Sachen vernichtet oder folgen jetzt noch mehr Schritt als ein normaler Scan?

markusg 10.07.2011 19:41
hi.
dieses system muss aufgrund des spyeye trojaners neu aufgesetzt werden.
1. daten sichern, sichere bilder, dokumente etc.
2. formatieren, falls hilfe benötigt, bescheid sagen.
3. pc absichern, anleitung bekommst du.
4. passwörter endern

Kritty 10.07.2011 21:41
Uff. Okay.

Also ich habe vor vielen vielen Monaten einmal Probleme gehabt mit SpyEye - wobei man sich bis heute nicht sicher ist, ob es SpyEye war. Ich habe Mails bekommen, die mir zur Passwortänderung geraten haben und ich habe mein Konto sperren lassen und so weiter. Nach einer ähnlichen Prozedur wie dieses mal war mein PC wieder okay (das war eine Hijack-Sache damals).

Könnten das Überbleibsel sein von damals?


Jetzt habe ich eine Frage zum Sicher und co. :
Ist SpyEye noch auf meinem PC vorhanden oder ist er schon gelöscht? Weil wenn ich Dokumente und Ähnliches sichern soll, dann kann sich auf diesen Dateien doch der SpyEye verstecken und das wäre ja mehr als schlecht, dann würde ich ja den mitsichern.

Wo ist also der SpyEye, das ich weiß, was ich NICHT sichern soll?

Und um was für eine Zeitspanne handelt es sich ungefähr, so eine Formatierung?

Kritty 11.07.2011 07:49
Ich nochmal.

Ich hab über Nacht drei Scans laufen lassen: McAffee, Microsoft Security Essentials und AdAware.

Es wurde ein bisschen Klein-Gedöns gefunden und drei SpyEyes. Es wurde alles erfolgreich entfernt von den Scannern.

Ich muss nun in eine andere Stadt, und heute NAchmittag führe ich erneut einige Scans durch.

Ist eine Neuformatierung trotzdem von nöten, also bzw. , sind meine Daten jetzt so sicher-bar , dass ich überhaupt eine Formatierung vornehmen kann ohne Daten zu verlieren oder einen Virus mit-zusichern?

markusg 11.07.2011 12:05
nein, keine scans, du kannst 100 scans laufen lassen, die sicherheit deines pcs wird dadurch nicht wiederhergestellt.
verschwende deine zeit nicht, sondern fang an deine daten zu sichern dann setzen wir neu auf.

Kritty 11.07.2011 12:30
Okay.

Aber ich verstehe immer noch nicht so ganz - wie kann ich denn die Daten sichern, wenn ich nicht weiß wo das Böse da drin hockt Nachher sicher ich den Virus mit und zieh den iwo mit runter auf ne Externe oder so? Oder versteh ich da was falsch. Ich frag aus Interesse, dass ich das beim nächsten Mal weiß (das hoffentlich nicht kommen wird).


Ich bin wieder im Studentenmodus, das heißt allein ohne großartiges Equipment in ner Studentenbude - ich habe gestern zuhause noch einiges sichern können, vieles ist sowieso noch auf meinem großen Computer (soll heißen nicht-Laptop)- das Laptop habe ich noch nicht allzulange. Mein Vater und ich sichern kommenden Samstag im großen Format (wollten wir übrigens dieses Wochenende machen, der Trojaner kam dazwischen -.-) und dann nehmen wir die Neuaufsetzung in Angriff. Bis dahin werde ich dieses Laptop nur für Schreibarbeiten nutzen und nichts Wichtiges im Internet betreiben.

Gleich gehe ich ins Rechenzentrum und ändere meine Passwörter. *das alles eigentlich nur für mich selbst aufschreib*

Ich werde so bald wie möglich nochmal auf dich zurückkommen, melde mich also bald wieder.

Vielen vielen Dank, hast mir bisher sehr sehr geholfen!!! :daumenhoc:applaus::applaus::applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:54 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131