Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem: zxo.exe, Falsche Weiterverlinkung auf google-Ergebnisse (https://www.trojaner-board.de/101930-problem-zxo-exe-falsche-weiterverlinkung-google-ergebnisse.html)

sheep_one 08.08.2011 17:07
Tja, leider geht das nicht. Eben ist SuperAntispyware zum 4. mal abgestürzt. Ich habe mir jetzt eine ältere Version (4.irgendwas) heruntergeladen. Mit dieser werde ich es jetzt nochmal versuchen. Es sind nach wie vor 4 BrowserHijacker, die er neben den TrackingCookies findet.

Bis später

sheep_one 09.08.2011 00:01
Ok, mit der 4er Version von SuperAntispyware hat es endlich geklappt. Ich habe alle Tracking Cookies und BrowserHijacker löschen (bzw. ich glaube in Quarantäne verschieben) lassen. SuperAntispyware wollte neu starten. Danach sind leider rpcnet.exe und agremove.exe immer noch da. Vielleicht kannst Du ja mit dem Log was anfangen:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/08/2011 at 08:23 PM

Application Version : 4.52.1000

Core Rules Database Version : 7526
Trace Rules Database Version: 5338

Scan type      : Complete Scan
Total Scan Time : 02:10:09

Memory items scanned      : 589
Memory threats detected  : 0
Registry items scanned    : 22602
Registry threats detected : 4
File items scanned        : 198480
File threats detected    : 63

Adware.Tracking Cookie
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@smartadserver[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@doubleclick[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ads.pubmatic[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adbrite[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@zanox[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@fastclick[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@vidasco.rotator.hadj7.adjuggler[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@m1.mediasrv[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ads.addynamix[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ar.atwola[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adxpose[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@content.yieldmanager[3].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@content.yieldmanager[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.yieldmanager[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.adition[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@cdn.at.atwola[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adecn[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@clicksor[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@webmasterplan[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@serving-sys[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.ad-srv[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@tacoda[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adx.chip[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@atwola[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.zanox[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@atdmt[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@unitymedia[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.dyntracker[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@traffictrack[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@at.atwola[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adfarm1.adition[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@harrenmedianetwork[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ru4[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@mediaplex[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adserver.adtechus[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@advertising[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@yieldmanager[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@media6degrees[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@user.lucidmedia[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@tradedoubler[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad3.adfarm1.adition[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@apmebf[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@adserving.versaneeds[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ads.creative-serving[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@mediabrandsww[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.360yield[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad1.adfarm1.adition[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@ad.harrenmedianetwork[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@tracking.quisma[2].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@myroitracking[1].txt
        C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\jana@invitemedia[2].txt
        cdn1.eyewonder.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        ch.mediaplanet.streamingbolaget.se [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        files.youporn.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        ia.media-imdb.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        m.doubleclick.net [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        media.cwtv.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        msnbcmedia.msn.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        secure-uk.imrworldwide.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        secure-us.imrworldwide.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        track.webgains.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        www.99counters.com [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]
        www.unitymedia.de [ C:\Users\Jana\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3XA2KTA2 ]

Browser Hijacker.Deskbar
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid32
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib#Version
So langsam bekomme ich das Gefühl, das wird nix :( Was habe ich mir denn da überhaupt eingefangen?

Danke trotzdem schonmal soweit. Vielleicht findest Du ja noch eine Lösung für diesen Mist, den ich mir da eingefangen habe.

cosinus 09.08.2011 10:01
Dann mach bitte nochmal ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

sheep_one 09.08.2011 13:19
So, hier das OTL Log. Die agremove.exe und rpcnet.exe Dateien sind immernoch da.

Irgendwie geht es nicht als Code einzufügen. Ich versuche es mal anzuhängen.

Ok, die Datei ist zu groß. Ich habe es bei uploaded hochgeladen: OTL_09_08_2011.Txt (143,42 KB) - uploaded.to

Irgendwie geht der Link nicht, oder sieht das nur für mich so aus? Hier nochmal zur Sicherheit: hxxp://ul.to/6jk2t3qd

cosinus 09.08.2011 14:16
Och nö bitte nicht da :balla:
Ich hasse Downloadportale mit Captcha- und Wartezwang :koch:
Verwende file-upload.net oder zip das Log und pack es hier im nächsten Posting in den Anhang!

sheep_one 09.08.2011 14:23
OK sorry, das wusste ich ja nicht. Zippen ist natürlich eine gute Idee, da habe ich irgendwie nicht dran gedacht. Bitte sehr:

cosinus 09.08.2011 15:01
rpcnetp.exe ist eigentlich kein Schädling...


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.09.22 23:32:30 | 000,000,000 | ---D | M] - D:\Autogenes Training -- [ NTFS ]
[2011.08.09 00:56:27 | 000,044,544 | ---- | M] (Absolute Software Corp.) -- C:\Windows\SysWow64\agremove.exe
[2011.08.09 00:53:20 | 000,017,408 | ---- | M] () -- C:\Windows\SysNative\rpcnetp.exe
:Files
c:\windows\system32\DRIVERS\acsock64.sys
c:\windows\SysWow64\agremove.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

sheep_one 09.08.2011 15:19
Achso, ich dachte das wäre eine der fiesen Dateien. Umso besser :)

Hier das Log vom Fix:

Code:
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File  not found.
C:\Windows\SysWOW64\agremove.exe moved successfully.
C:\Windows\SysNative\rpcnetp.exe moved successfully.
========== FILES ==========
File\Folder c:\windows\system32\DRIVERS\acsock64.sys not found.
File\Folder c:\windows\SysWow64\agremove.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.26.1 log created on 08092011_161805

cosinus 09.08.2011 15:31
Zitat:
C:\Windows\SysWOW64\agremove.exe
Taucht die immer noch auf?

sheep_one 09.08.2011 15:33
Mist, wollte gerade schreiben, dass sie sogar nach einem Neustart nicht mehr da ist. Zur Sicherheit nachgeschaut und siehe da: Wieder da! Verdammt.

Tja, und jetzt?

cosinus 09.08.2011 15:37
Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.



Falls beim booten von der OTLPE-CD ein Fehler erscheint => Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

sheep_one 09.08.2011 18:37
Ok, das hat soweit geklappt. Allerdings wurde mein USB-Stick in diesem Win XPe nicht erkannt, ich habe versucht das runterzufahren, aber es ist dabei hängegeblieben und ich musste den Laptop direkt am Schalter aus machen.

Hier das Log, eine Extras.txt habe ich nicht gefunden.

Code:
OTL logfile created on: 8/9/2011 8:10:21 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
64bit-Windows 7 Professional Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 89.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files (x86)
Drive C: | 100.00 Mb Total Space | 75.86 Mb Free Space | 75.87% Space Free | Partition Type: NTFS
Drive D: | 53.71 Gb Total Space | 8.02 Gb Free Space | 14.93% Space Free | Partition Type: NTFS
Drive E: | 244.28 Gb Total Space | 14.73 Gb Free Space | 6.03% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2011/05/04 13:55:09 | 000,128,384 | ---- | M] (SUPERAntiSpyware.com) [Auto] -- D:\Program Files\SUPERAntiSpyware\SASCORE64.EXE -- (!SASCORE)
SRV:64bit: - [2009/07/13 21:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Disabled] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV:64bit: - [2009/07/13 21:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\appmgmts.dll -- (AppMgmt)
SRV - [2011/07/06 13:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto] -- D:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/03/23 18:34:18 | 000,435,152 | ---- | M] (Cisco Systems, Inc.) [Auto] -- D:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe -- (vpnagent)
SRV - [2010/09/23 12:15:18 | 000,350,256 | ---- | M] (AnchorFree Inc.) [Auto] -- D:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)
SRV - [2010/09/22 19:25:28 | 000,057,640 | ---- | M] () [On_Demand] -- D:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.exe -- (HssTrayService)
SRV - [2010/09/22 19:24:22 | 000,265,776 | ---- | M] () [Auto] -- D:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService)
SRV - [2010/09/22 15:19:06 | 000,325,168 | ---- | M] () [Auto] -- D:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe -- (HssWd)
SRV - [2010/03/18 07:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009/12/21 21:08:38 | 000,814,344 | ---- | M] (ABBYY) [Auto] -- D:\Program Files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
SRV - [2009/12/15 04:39:38 | 000,096,896 | ---- | M] (ASUS) [Auto] -- D:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe -- (ATKGFNEXSrv)
SRV - [2009/06/15 11:30:42 | 000,084,536 | ---- | M] (ASUS) [Auto] -- D:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe -- (ASLDRService)
SRV - [2009/06/10 17:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled] -- D:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009/04/30 05:23:26 | 000,090,112 | ---- | M] () [Auto] -- D:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- (OMSI download service)
SRV - [2008/08/02 03:57:14 | 001,431,440 | ---- | M] (Acresso Software Inc.) [Auto] -- D:\Program Files (x86)\ESRI\License\arcgis9x\lmgrd.exe -- (ArcGIS License Manager)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2011/07/06 13:52:42 | 000,025,912 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- D:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2011/02/11 13:16:38 | 010,628,640 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\igdkmd64.sys -- (igfx)
DRV:64bit: - [2011/02/11 11:27:37 | 000,022,752 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\vpnva64.sys -- (vpnva)
DRV:64bit: - [2010/11/20 07:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010/09/22 15:19:02 | 000,056,832 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\HssDrv.sys -- (HssDrv)
DRV:64bit: - [2010/09/22 15:19:02 | 000,037,888 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand] -- D:\Windows\System32\drivers\taphss.sys -- (taphss)
DRV:64bit: - [2010/07/28 18:25:10 | 000,029,720 | ---- | M] (Initio Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ivusb.sys -- (ivusb)
DRV:64bit: - [2010/02/17 14:23:05 | 000,014,920 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- D:\Program Files\SUPERAntiSpyware\sasdifsv64.sys -- (SASDIFSV)
DRV:64bit: - [2009/10/05 10:34:00 | 001,542,656 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\athrx.sys -- (athr)
DRV:64bit: - [2009/08/23 00:08:10 | 000,056,320 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\L1E62x64.sys -- (L1E)
DRV:64bit: - [2009/07/17 18:52:02 | 001,799,680 | ---- | M] () [Kernel | On_Demand] -- D:\Windows\System32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC)
DRV:64bit: - [2009/06/10 16:38:56 | 000,000,308 | ---- | M] () [File_System | On_Demand] -- D:\Windows\System32\wbem\ntfs.mof -- (Ntfs)
DRV:64bit: - [2009/06/10 16:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\evbda.sys -- (ebdrv)
DRV:64bit: - [2009/06/10 16:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009/06/10 16:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009/05/13 03:07:20 | 000,015,928 | ---- | M] (ASUS) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ATK64AMD.sys -- (MTsensor)
DRV:64bit: - [2008/05/16 05:33:06 | 000,158,760 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016mdm.sys -- (s0016mdm)
DRV:64bit: - [2008/05/16 05:33:06 | 000,151,592 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016unic.sys -- (s0016unic) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM)
DRV:64bit: - [2008/05/16 05:33:06 | 000,137,256 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016mgmt.sys -- (s0016mgmt) Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM)
DRV:64bit: - [2008/05/16 05:33:06 | 000,136,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016obex.sys -- (s0016obex)
DRV:64bit: - [2008/05/16 05:33:06 | 000,034,344 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016nd5.sys -- (s0016nd5) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS)
DRV:64bit: - [2008/05/16 05:33:04 | 000,019,496 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016mdfl.sys -- (s0016mdfl)
DRV:64bit: - [2008/05/16 05:32:56 | 000,115,240 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\s0016bus.sys -- (s0016bus) Sony Ericsson Device 0016 driver (WDM)
DRV:64bit: - [2006/04/20 01:22:00 | 000,141,888 | ---- | M] (SafeNet, Inc.) [Kernel | Auto] -- D:\Windows\System32\Drivers\SENTINEL64.SYS -- (Sentinel)
DRV - [2009/07/02 11:36:14 | 000,015,416 | ---- | M] (ASUS) [Kernel | Auto] -- D:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys -- (ASMMAP64)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Jana_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Jana_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B3 DC E1 73 1A 4E CC 01  [binary data]
IE - HKU\Jana_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE:  File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\Program Files\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: D:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Google.com/GoogleEarthPlugin: D:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE:  File not found
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files (x86)\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\Program Files (x86)\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Program Files (x86)\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Program Files (x86)\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: D:\Program Files (x86)\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: D:\Program Files (x86)\Veetle\Player\npvlc.dll (Veetle Inc)
 
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}: C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox [2011/01/20 11:43:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2011/08/01 15:42:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011/08/01 15:38:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Thunderbird 5.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2011/07/10 05:30:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Thunderbird 5.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins [2011/03/13 13:25:24 | 000,000,000 | ---D | M]
 
[2011/08/01 15:42:11 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files (x86)\Mozilla Firefox\extensions
[2011/06/30 04:04:23 | 000,000,000 | ---D | M] (Skype extension) -- D:\Program Files (x86)\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2010/05/31 12:15:46 | 000,000,000 | ---D | M] (Java Console) -- D:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/08/13 11:17:35 | 000,000,000 | ---D | M] (Java Console) -- D:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2011/07/08 03:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- D:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2010/07/16 23:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- D:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010/05/25 12:09:48 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- D:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
[2010/01/01 04:00:00 | 000,001,392 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/01/01 04:00:00 | 000,002,252 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2010/01/01 04:00:00 | 000,001,153 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010/01/01 04:00:00 | 000,006,805 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/01/01 04:00:00 | 000,001,178 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/01/01 04:00:00 | 000,001,105 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011/08/09 10:18:05 | 000,000,098 | ---- | M]) - D:\Windows\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - D:\Program Files (x86)\Burn4Free DB Toolbar\tbcore3.dll ()
O4:64bit: - HKLM..\Run: [ETDWare] D:\Program Files\Elantech\ETDCtrl.exe (ELAN Microelectronic Corp.)
O4 - HKLM..\Run: [ATKMEDIA] D:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe (ASUS)
O4 - HKLM..\Run: [ATKOSD2] D:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe (ASUS)
O4 - HKLM..\Run: [Bonus.SSR.FR10] D:\Program Files (x86)\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.)
O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] D:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)
O4 - HKLM..\Run: [DivXUpdate] D:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HControlUser] D:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe (ASUS)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] D:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [WinampAgent] D:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\Jana_ON_D..\Run: [ICQ] D:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O4 - HKU\Jana_ON_D..\Run: [SUPERAntiSpyware] D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\Administrator_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Jana_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/09/22 17:32:30 | 000,000,000 | ---D | M] - E:\Autogenes Training -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
64bit: O35 - HKLM\..comfile [open] -- "%1" %* File not found
64bit: O35 - HKLM\..exefile [open] -- "%1" %* File not found
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/08/09 10:23:23 | 000,044,544 | ---- | C] (Absolute Software Corp.) -- D:\Windows\SysWow64\agremove.exe
[2011/08/08 12:05:46 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2011/08/08 12:05:46 | 000,000,000 | ---D | C] -- D:\ProgramData\!SASCORE
[2011/08/08 12:05:43 | 000,000,000 | ---D | C] -- D:\Program Files\SUPERAntiSpyware
[2011/08/08 09:23:03 | 002,315,776 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\tquery.dll
[2011/08/08 09:23:02 | 002,223,616 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\mssrch.dll
[2011/08/08 09:23:02 | 001,549,312 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\tquery.dll
[2011/08/08 09:23:02 | 001,401,344 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\mssrch.dll
[2011/08/08 09:23:02 | 000,249,856 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\SearchProtocolHost.exe
[2011/08/08 09:23:01 | 000,778,752 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\mssvp.dll
[2011/08/08 09:23:01 | 000,666,624 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\mssvp.dll
[2011/08/08 09:23:01 | 000,491,520 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\mssph.dll
[2011/08/08 09:23:01 | 000,337,408 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\mssph.dll
[2011/08/08 09:23:01 | 000,288,256 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\mssphtb.dll
[2011/08/08 09:23:01 | 000,197,120 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\mssphtb.dll
[2011/08/08 09:23:01 | 000,113,664 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\SearchFilterHost.exe
[2011/08/08 09:23:01 | 000,075,264 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\msscntrs.dll
[2011/08/08 09:23:00 | 000,059,392 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\msscntrs.dll
[2011/08/08 09:22:51 | 000,421,888 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\KernelBase.dll
[2011/08/08 09:22:50 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
[2011/08/08 09:22:50 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2011/08/08 09:22:50 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
[2011/08/08 09:22:50 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
[2011/08/08 09:22:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
[2011/08/08 09:22:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2011/08/08 09:22:49 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2011/08/08 09:22:49 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
[2011/08/08 09:22:49 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2011/08/08 09:22:49 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
[2011/08/08 09:22:49 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2011/08/08 09:22:49 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
[2011/08/08 09:22:49 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- D:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2011/08/08 09:22:44 | 000,252,928 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\drvinst.exe
[2011/08/08 09:22:44 | 000,044,544 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\devrtl.dll
[2011/08/08 09:22:40 | 001,162,752 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\kernel32.dll
[2011/08/08 09:22:39 | 000,362,496 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\wow64win.dll
[2011/08/08 09:22:39 | 000,338,944 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\conhost.exe
[2011/08/08 09:22:39 | 000,243,200 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\wow64.dll
[2011/08/08 09:22:39 | 000,214,528 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\winsrv.dll
[2011/08/08 09:22:39 | 000,025,600 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\setup16.exe
[2011/08/08 09:22:39 | 000,016,384 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\ntvdm64.dll
[2011/08/08 09:22:39 | 000,014,336 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\ntvdm64.dll
[2011/08/08 09:22:39 | 000,013,312 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\wow64cpu.dll
[2011/08/08 09:22:39 | 000,007,680 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\instnm.exe
[2011/08/08 09:22:39 | 000,005,120 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\wow32.dll
[2011/08/08 09:22:38 | 000,002,048 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\user.exe
[2011/08/08 09:20:05 | 000,000,000 | ---D | C] -- D:\Users\Jana\AppData\Roaming\SUPERAntiSpyware.com
[2011/08/08 09:19:49 | 000,000,000 | ---D | C] -- D:\ProgramData\SUPERAntiSpyware.com
[2011/08/05 12:27:16 | 011,065,088 | ---- | C] (SUPERAntiSpyware.com) -- D:\Users\Jana\Desktop\SUPERAntiSpyware.exe
[2011/08/04 14:56:18 | 001,915,904 | ---- | C] (AVAST Software) -- D:\Users\Jana\Desktop\aswMBR.exe
[2011/08/04 14:33:01 | 000,000,000 | -HSD | C] -- D:\$RECYCLE.BIN
[2011/08/04 14:30:59 | 000,000,000 | ---D | C] -- D:\Windows\temp
[2011/08/04 14:30:59 | 000,000,000 | ---D | C] -- D:\Users\Administrator\AppData\Local\temp
[2011/08/04 05:47:01 | 000,518,144 | ---- | C] (SteelWerX) -- D:\Windows\SWREG.exe
[2011/08/04 05:47:01 | 000,406,528 | ---- | C] (SteelWerX) -- D:\Windows\SWSC.exe
[2011/08/04 05:47:01 | 000,060,416 | ---- | C] (NirSoft) -- D:\Windows\NIRCMD.exe
[2011/08/04 05:44:28 | 004,163,573 | R--- | C] (Swearware) -- D:\Users\Jana\Desktop\ComboFix.exe
[2011/08/04 05:25:22 | 000,000,000 | ---D | C] -- D:\Windows\ERDNT
[2011/08/04 05:10:59 | 000,000,000 | ---D | C] -- D:\Qoobox
[2011/08/03 16:09:37 | 001,404,208 | ---- | C] (Kaspersky Lab ZAO) -- D:\Users\Jana\Desktop\tdsskiller.exe
[2011/08/03 11:35:34 | 000,000,000 | ---D | C] -- D:\_OTL
[2011/08/02 07:46:49 | 000,000,000 | ---D | C] -- D:\Program Files (x86)\ESET
[2011/08/02 07:45:10 | 002,322,184 | ---- | C] (ESET) -- D:\Users\Jana\Desktop\esetsmartinstaller_enu.exe
[2011/08/02 05:47:36 | 000,000,000 | ---D | C] -- D:\Users\Jana\AppData\Roaming\Malwarebytes
[2011/08/02 05:47:30 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- D:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011/08/02 05:47:30 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/08/02 05:47:29 | 000,000,000 | ---D | C] -- D:\ProgramData\Malwarebytes
[2011/08/02 05:47:26 | 000,025,912 | ---- | C] (Malwarebytes Corporation) -- D:\Windows\System32\drivers\mbam.sys
[2011/08/02 05:47:25 | 000,000,000 | ---D | C] -- D:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011/08/01 15:49:54 | 000,579,584 | ---- | C] (OldTimer Tools) -- D:\Users\Jana\Desktop\OTL.exe
[2011/07/31 10:55:34 | 000,000,000 | ---D | C] -- D:\ProgramData\TEMP
[2011/07/31 10:47:59 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cycle Calculator for Women
[2011/07/31 10:47:58 | 000,000,000 | ---D | C] -- D:\Program Files (x86)\SoundTells
[2011/07/29 14:00:30 | 000,000,000 | ---D | C] -- D:\Users\Jana\Documents\projekte
[2009/11/25 10:39:30 | 009,311,688 | ---- | C] (Foxit Software) -- D:\Program Files (x86)\Foxit Reader.exe
 
========== Files - Modified Within 30 Days ==========
 
[2011/08/09 13:01:29 | 000,067,584 | --S- | M] () -- D:\Windows\bootstat.dat
[2011/08/09 10:28:28 | 000,013,792 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/08/09 10:28:28 | 000,013,792 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/08/09 10:23:47 | 000,044,544 | ---- | M] (Absolute Software Corp.) -- D:\Windows\SysWow64\agremove.exe
[2011/08/09 10:20:40 | 2388,459,520 | -HS- | M] () -- D:\hiberfil.sys
[2011/08/09 10:20:37 | 000,017,408 | ---- | M] () -- D:\Windows\System32\rpcnetp.exe
[2011/08/09 10:18:05 | 000,000,098 | ---- | M] () -- D:\Windows\System32\drivers\etc\Hosts
[2011/08/09 09:21:59 | 000,018,649 | ---- | M] () -- D:\Users\Jana\Desktop\OTL_09_08_2011.zip
[2011/08/09 05:23:16 | 000,399,008 | ---- | M] () -- D:\Windows\System32\FNTCACHE.DAT
[2011/08/08 12:05:46 | 000,001,808 | ---- | M] () -- D:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011/08/08 12:05:46 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2011/08/08 12:05:10 | 011,065,088 | ---- | M] (SUPERAntiSpyware.com) -- D:\Users\Jana\Desktop\SUPERAntiSpyware.exe
[2011/08/04 15:09:54 | 000,000,512 | ---- | M] () -- D:\Users\Jana\Desktop\MBR.dat
[2011/08/04 14:57:14 | 001,915,904 | ---- | M] (AVAST Software) -- D:\Users\Jana\Desktop\aswMBR.exe
[2011/08/04 05:44:44 | 004,163,573 | R--- | M] (Swearware) -- D:\Users\Jana\Desktop\ComboFix.exe
[2011/08/04 05:23:16 | 059,161,664 | ---- | M] () -- D:\Users\Jana\Desktop\a v vir.exe
[2011/08/04 05:22:21 | 000,284,936 | ---- | M] () -- D:\Users\Jana\Desktop\SoftonicDownloader_fuer_avira-antivir.exe
[2011/08/03 16:09:39 | 001,404,208 | ---- | M] (Kaspersky Lab ZAO) -- D:\Users\Jana\Desktop\tdsskiller.exe
[2011/08/02 07:45:14 | 002,322,184 | ---- | M] (ESET) -- D:\Users\Jana\Desktop\esetsmartinstaller_enu.exe
[2011/08/02 05:47:30 | 000,001,109 | ---- | M] () -- D:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/08/02 05:47:30 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/08/01 16:09:44 | 000,008,233 | ---- | M] () -- D:\Users\Jana\Desktop\Extras.zip
[2011/08/01 15:49:55 | 000,579,584 | ---- | M] (OldTimer Tools) -- D:\Users\Jana\Desktop\OTL.exe
[2011/08/01 15:45:48 | 000,050,477 | ---- | M] () -- D:\Users\Jana\Desktop\Defogger.exe
[2011/08/01 15:42:12 | 000,001,150 | ---- | M] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2011/07/31 10:55:18 | 000,000,979 | ---- | M] () -- D:\Users\Administrator\Desktop\4WomenOnly Simple Mode.lnk
[2011/07/31 10:55:18 | 000,000,963 | ---- | M] () -- D:\Users\Administrator\Desktop\4WomenOnly.lnk
[2011/07/31 10:49:53 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cycle Calculator for Women
[2011/07/31 10:45:15 | 000,000,022 | ---- | M] () -- D:\Users\Jana\Desktop\pcalc32_273.zip
[2011/07/30 10:04:46 | 000,127,729 | ---- | M] () -- D:\Users\Jana\Documents\aachen2.png
[2011/07/30 10:02:53 | 000,144,962 | ---- | M] () -- D:\Users\Jana\Documents\aachen.png
[2011/07/29 16:16:02 | 000,105,160 | ---- | M] () -- D:\Users\Jana\Documents\Antrag DGG.pdf
[2011/07/29 16:13:43 | 000,043,215 | ---- | M] () -- D:\Users\Jana\Documents\unterschrift.jpeg Kopie.jpg
[2011/07/29 16:11:45 | 000,078,303 | ---- | M] () -- D:\Users\Jana\Documents\unterschrift.jpeg
[2011/07/26 13:35:24 | 000,286,720 | ---- | M] () -- D:\Users\Jana\Documents\Datenbank4.accdb
[2011/07/25 15:13:30 | 000,100,587 | R--- | M] () -- D:\Users\Jana\Desktop\bescheinigung.PDF
[2011/07/13 13:48:22 | 000,201,811 | ---- | M] () -- D:\Users\Jana\Desktop\chris2.pdf
[2011/07/13 13:48:03 | 000,379,006 | ---- | M] () -- D:\Users\Jana\Desktop\m.pdf
 
========== Files Created - No Company Name ==========
 
[2011/08/09 10:20:37 | 000,017,408 | ---- | C] () -- D:\Windows\System32\rpcnetp.exe
[2011/08/09 09:21:59 | 000,018,649 | ---- | C] () -- D:\Users\Jana\Desktop\OTL_09_08_2011.zip
[2011/08/08 12:05:46 | 000,001,808 | ---- | C] () -- D:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011/08/04 15:09:54 | 000,000,512 | ---- | C] () -- D:\Users\Jana\Desktop\MBR.dat
[2011/08/04 05:47:01 | 000,256,000 | ---- | C] () -- D:\Windows\PEV.exe
[2011/08/04 05:47:01 | 000,208,896 | ---- | C] () -- D:\Windows\MBR.exe
[2011/08/04 05:47:01 | 000,098,816 | ---- | C] () -- D:\Windows\sed.exe
[2011/08/04 05:47:01 | 000,080,412 | ---- | C] () -- D:\Windows\grep.exe
[2011/08/04 05:47:01 | 000,068,096 | ---- | C] () -- D:\Windows\zip.exe
[2011/08/04 05:22:49 | 059,161,664 | ---- | C] () -- D:\Users\Jana\Desktop\a v vir.exe
[2011/08/04 05:22:20 | 000,284,936 | ---- | C] () -- D:\Users\Jana\Desktop\SoftonicDownloader_fuer_avira-antivir.exe
[2011/08/02 05:47:30 | 000,001,109 | ---- | C] () -- D:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/08/01 16:06:32 | 000,008,233 | ---- | C] () -- D:\Users\Jana\Desktop\Extras.zip
[2011/08/01 15:45:47 | 000,050,477 | ---- | C] () -- D:\Users\Jana\Desktop\Defogger.exe
[2011/08/01 15:42:12 | 000,001,150 | ---- | C] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2011/07/31 10:55:18 | 000,000,979 | ---- | C] () -- D:\Users\Administrator\Desktop\4WomenOnly Simple Mode.lnk
[2011/07/31 10:55:18 | 000,000,963 | ---- | C] () -- D:\Users\Administrator\Desktop\4WomenOnly.lnk
[2011/07/31 10:44:30 | 000,000,022 | ---- | C] () -- D:\Users\Jana\Desktop\pcalc32_273.zip
[2011/07/30 10:04:44 | 000,127,729 | ---- | C] () -- D:\Users\Jana\Documents\aachen2.png
[2011/07/30 10:02:50 | 000,144,962 | ---- | C] () -- D:\Users\Jana\Documents\aachen.png
[2011/07/29 16:16:00 | 000,105,160 | ---- | C] () -- D:\Users\Jana\Documents\Antrag DGG.pdf
[2011/07/29 16:13:42 | 000,043,215 | ---- | C] () -- D:\Users\Jana\Documents\unterschrift.jpeg Kopie.jpg
[2011/07/29 16:12:06 | 000,078,303 | ---- | C] () -- D:\Users\Jana\Documents\unterschrift.jpeg
[2011/07/26 13:34:56 | 000,286,720 | ---- | C] () -- D:\Users\Jana\Documents\Datenbank4.accdb
[2011/07/25 15:13:32 | 000,100,587 | R--- | C] () -- D:\Users\Jana\Desktop\bescheinigung.PDF
[2011/07/13 13:48:22 | 000,201,811 | ---- | C] () -- D:\Users\Jana\Desktop\chris2.pdf
[2011/07/13 13:48:02 | 000,379,006 | ---- | C] () -- D:\Users\Jana\Desktop\m.pdf
[2011/05/29 10:04:34 | 000,207,390 | ---- | C] () -- D:\Users\Jana\AppData\Roaming\mdbu.bin
[2011/05/18 02:43:59 | 000,000,000 | ---- | C] () -- D:\Users\Jana\AppData\Local\{E8AA9A47-EB29-4642-916F-5E7B676FD71A}
[2011/04/05 09:12:28 | 000,252,928 | ---- | C] () -- D:\Windows\SysWow64\DShowRdpFilter.dll
[2010/12/02 02:43:06 | 000,000,000 | ---- | C] () -- D:\Windows\SysWow64\cd.dat
[2010/08/26 13:04:25 | 000,000,125 | -HS- | C] () -- D:\ProgramData\.zreglib
[2010/08/25 14:34:30 | 000,982,240 | ---- | C] () -- D:\Windows\SysWow64\igkrng500.bin
[2010/08/25 14:34:30 | 000,439,308 | ---- | C] () -- D:\Windows\SysWow64\igcompkrng500.bin
[2010/08/25 14:34:30 | 000,092,356 | ---- | C] () -- D:\Windows\SysWow64\igfcg500m.bin
[2010/06/03 03:43:34 | 000,015,497 | ---- | C] () -- D:\Windows\snp2uvc.ini
[2010/05/31 12:04:51 | 000,000,056 | -H-- | C] () -- D:\ProgramData\ezsidmv.dat
[2009/08/13 15:51:30 | 000,134,592 | ---- | C] () -- D:\Windows\SysWow64\igfcg500.bin
[2009/07/14 01:38:36 | 000,067,584 | --S- | C] () -- D:\Windows\bootstat.dat
[2009/07/13 22:35:51 | 000,000,741 | ---- | C] () -- D:\Windows\SysWow64\NOISE.DAT
[2009/07/13 22:34:42 | 000,215,943 | ---- | C] () -- D:\Windows\SysWow64\dssec.dat
[2009/07/13 20:19:57 | 000,000,000 | ---- | C] () -- D:\Windows\SysWow64\msxml6r.dll
[2009/07/13 20:10:29 | 000,043,131 | ---- | C] () -- D:\Windows\mib.bin
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- D:\Windows\SysWow64\BWContextHandler.dll
[2009/07/13 19:37:20 | 000,011,264 | ---- | C] () -- D:\Windows\SysWow64\winshfhc.dll
[2009/07/13 18:25:04 | 000,197,632 | ---- | C] () -- D:\Windows\SysWow64\ir32_32.dll
[2009/07/13 17:03:59 | 000,364,544 | ---- | C] () -- D:\Windows\SysWow64\msjetoledb40.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- D:\Windows\SysWow64\mlang.dat
 
========== LOP Check ==========
 
[2011/08/08 12:05:46 | 000,000,000 | ---D | M] -- D:\ProgramData\!SASCORE
[2010/05/31 11:03:24 | 000,000,000 | -HSD | M] -- D:\ProgramData\Anwendungsdaten
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2010/08/12 16:33:25 | 000,000,000 | ---D | M] -- D:\ProgramData\BVRP Software
[2011/05/07 02:32:15 | 000,000,000 | ---D | M] -- D:\ProgramData\Cisco
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2010/05/31 11:03:24 | 000,000,000 | -HSD | M] -- D:\ProgramData\Dokumente
[2010/06/01 08:46:17 | 000,000,000 | ---D | M] -- D:\ProgramData\ESRI
[2010/05/31 11:03:24 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favoriten
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2011/05/29 09:49:41 | 000,000,000 | ---D | M] -- D:\ProgramData\fotokasten comfort
[2011/01/20 19:56:46 | 000,000,000 | ---D | M] -- D:\ProgramData\Gibraltar
[2011/04/25 04:11:15 | 000,000,000 | ---D | M] -- D:\ProgramData\SlySoft
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2010/05/31 11:03:24 | 000,000,000 | -HSD | M] -- D:\ProgramData\Startmenü
[2011/01/20 11:43:22 | 000,000,000 | ---D | M] -- D:\ProgramData\Swiss Academic Software
[2011/07/31 14:05:28 | 000,000,000 | ---D | M] -- D:\ProgramData\TEMP
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2011/06/19 18:34:54 | 000,000,000 | ---D | M] -- D:\ProgramData\tmp
[2010/05/31 11:03:24 | 000,000,000 | -HSD | M] -- D:\ProgramData\Vorlagen
[2011/08/04 02:14:30 | 000,032,640 | ---- | M] () -- D:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2010/10/15 12:18:17 | 004,869,875 | ---- | C] ()(D:\Users\Jana\Desktop\Israel Kamakawiwo?ole - Over the Rainbow.mp3) -- D:\Users\Jana\Desktop\Israel Kamakawiwoʻole - Over the Rainbow.mp3
[2010/10/11 14:19:37 | 004,869,875 | ---- | M] ()(D:\Users\Jana\Desktop\Israel Kamakawiwo?ole - Over the Rainbow.mp3) -- D:\Users\Jana\Desktop\Israel Kamakawiwoʻole - Over the Rainbow.mp3
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 168 bytes -> D:\Users\Jana\Documents\unterschrift.jpeg:3or4kl4x13tuuug3Byamue2s4b
< End of report >

cosinus 09.08.2011 19:30
Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/09/22 17:32:30 | 000,000,000 | ---D | M] - E:\Autogenes Training -- [ NTFS ]
[2011/08/09 10:23:23 | 000,044,544 | ---- | C] (Absolute Software Corp.) -- D:\Windows\SysWow64\agremove.exe
[2011/05/29 10:04:34 | 000,207,390 | ---- | C] () -- D:\Users\Jana\AppData\Roaming\mdbu.bin
[2011/08/09 10:20:37 | 000,017,408 | ---- | C] () -- D:\Windows\System32\rpcnetp.exe
[2011/05/18 02:43:59 | 000,000,000 | ---- | C] () -- D:\Users\Jana\AppData\Local\{E8AA9A47-EB29-4642-916F-5E7B676FD71A}
@Alternate Data Stream - 168 bytes -> D:\Users\Jana\Documents\unterschrift.jpeg:3or4kl4x13tuuug3Byamue2s4b
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

sheep_one 09.08.2011 20:11
OK, hier erstmal das Log vom Fixen:

Code:
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File  not found.
D:\Windows\SysWOW64\agremove.exe moved successfully.
D:\Users\Jana\AppData\Roaming\mdbu.bin moved successfully.
File D:\Windows\System32\rpcnetp.exe not found.
D:\Users\Jana\AppData\Local\{E8AA9A47-EB29-4642-916F-5E7B676FD71A} moved successfully.
ADS D:\Users\Jana\Documents\unterschrift.jpeg:3or4kl4x13tuuug3Byamue2s4b deleted successfully.
========== COMMANDS ==========
D:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08092011_215040
Dann wollte ich die removed Files zippen. Das habe ich wieder über mein normales Windows gemacht, sonst habe ich gar kein Internet und der USB Stick funktioniert ja auch wieder nicht. Dafür habe ich SuperAntispyware und Malwarebytes deaktiviert, Virenscanner habe ich im Moment nicht. Es kam beim Packen aber folgende Meldung:

! Kann den Inhalt von C:\_OTL\MovedFiles\08032011_173534\C_\found.000\* nicht lesen.

Ich habe das Trotzdem mal hochgeladen, hat auch geklappt.

Ich habe nochmal eben geschaut ob agremove.exe noch da ist und leider muss ich sagen: Ja.

cosinus 09.08.2011 20:32
Hm, ganz sicher bin ich mir bei der agremove.exe noch nicht. Jottis Virenscanner sagen keine Funde! => agremove.exe - Jotti&#039;s malware scan

Bei Virustotal spingt nur einer an, da kann es gut ein Fehlalarm sein. Die zwei Kommentare sind vermutlich von ein und derselben Person.

VirusTotal - Free Online Virus, Malware and URL Scanner

Ich warte noch auf eine Analyse von Threatexpert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:45 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131