Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   RunDll Fehler nach Trojaner-Fund (https://www.trojaner-board.de/102483-rundll-fehler-trojaner-fund.html)

zeromuffi 13.08.2011 16:51
RunDll Fehler nach Trojaner-Fund
 
Hallo,
ich hoffe ihr könnt mir helfen...

Vor zwei Tagen meldete mir mein AntiVir Guard Funde folgender Malware:

C:\Users\michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DVRDHPUC\readme[1].exe' 'TR/Dldr.Sinowal.A.129' [trojan].

C:\Users\michi\AppData\Local\Temp\9DC8.tmp' TR/TDss.69.23' [trojan].

C:\Users\michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NK7FP2RZ\about[1].exe' TR/Spy.115712.61' [trojan].

C:\Users\michi\gloadhD4.dll' TR/PSW.Sinowal.Y.1626' [trojan].

C:\Users\michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scankdiskl25.dll' TR/PSW.Sinowal.Y.1626' [trojan]

C:\Users\michi\AppData\Local\Temp\B406.tmp TR/PSW.Sinowal.Y.1626' [trojan]


Nachdem ich die Dateien in Quarantäne geschoben bzw. gelöscht hatte, dachte ich, dass soweit alles in Ordnung sein würde, da ein Scan mit Antivir keine Funde mehr hervorbrachte. Beim nächsten Start wurden mir jedoch 2 RunDLL-Fehler angezeigt:

C:\Users\michi\gloadhD4.dll
C:\Users\Michi\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\SCANHD~1.DLL

Die angegebenen Module wurden nicht gefunden. :confused:

Anschließend hab ich mich dann mal auf eurem Board umgesehen und einen Vollscan mit Malwarebytes gemacht (Log im Anhang).

Beim folgenden Neustart, wurden mir die RunDLL-Fehler nicht mehr angezeigt.

Da ich mir nicht sicher bin, ob mein PC nun wirklich schon sauber ist, habe ich mich entschlossen eure Checkliste abzuarbeiten und einen neuen Thread zu eröffnen. Ich würde mich freuen, wenn ihr mal einen Blick auf meine Log-Files im Anhang werfen und mir, wenn nötig, zu nächsten Schritten raten könntet.

Die OTL.txt findet ihr nachfolgend (eine Extras.txt wurde mir leider nicht ausgegeben)

OTL logfile created on: 13.08.2011 14:48:50 - Run 3
OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\michi\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,36 Gb Available Physical Memory | 68,31% Memory free
4,23 Gb Paging File | 3,40 Gb Available in Paging File | 80,37% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69,05 Gb Total Space | 31,39 Gb Free Space | 45,46% Space Free | Partition Type: NTFS
Drive D: | 70,00 Gb Total Space | 51,34 Gb Free Space | 73,34% Space Free | Partition Type: NTFS

Computer Name: MICHI-PC | User Name: michi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.08.13 11:32:53 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\michi\Desktop\OTL.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.01.19 09:33:30 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2007.06.29 01:15:06 | 000,352,256 | ---- | M] (SAMSUNG Electronics co., LTD.) -- C:\Programme\Samsung\EBM\EasyBatteryMgr3.exe
PRC - [2007.06.13 06:11:30 | 004,489,216 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2007.06.01 12:36:00 | 000,684,032 | ---- | M] (SAMSUNG Electronics) -- C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2007.04.26 04:20:48 | 000,045,056 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
PRC - [2007.04.24 14:49:02 | 000,565,248 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2007.04.24 11:50:32 | 000,723,760 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2006.10.05 05:10:12 | 000,009,216 | ---- | M] (Agere Systems) -- C:\Windows\System32\agrsmsvc.exe
PRC - [2003.06.20 01:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\VS7DEBUG\MDM.EXE


========== Modules (SafeList) ==========

MOD - [2011.08.13 11:32:53 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\michi\Desktop\OTL.exe
MOD - [2010.08.31 17:39:57 | 001,684,480 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18523_none_5cdd65e20837faf2\comctl32.dll


========== Win32 Services (SafeList) ==========

SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.01.19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007.06.28 11:54:42 | 000,073,728 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2006.10.05 05:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto | Running] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)


========== Driver Services (SafeList) ==========

DRV - [2011.07.06 19:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2009.12.17 16:02:20 | 001,203,712 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2009.11.25 12:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.08.08 00:41:48 | 000,013,312 | ---- | M] (SAMSUNG ELECTRONICS CO., LTD.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\KMDFMEMIO.sys -- (KMDFMEMIO)
DRV - [2007.08.07 02:30:52 | 002,601,472 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
DRV - [2007.08.07 02:30:52 | 002,601,472 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2007.04.26 03:15:26 | 000,007,680 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV - [2006.11.28 23:46:24 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PDNMp50.sys -- (PDNMp50)
DRV - [2006.11.28 23:46:22 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PDNSp50.sys -- (PDNSp50)
DRV - [2006.11.28 20:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006.11.02 09:30:56 | 002,589,184 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw2v32.sys -- (NETw2v32) Intel(R)
DRV - [2006.11.02 09:30:56 | 000,047,104 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Rtnicxp.sys -- (RTL8023xp)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Users\michi\Program Files\DNA\plugins\npbtdna.dll (BitTorrent, Inc.)

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{d5bc46d8-67c7-11dc-8c1d-0097498c2b7a}: C:\Users\michi\Program Files\DNA [2010.09.20 14:30:27 | 000,000,000 | ---D | M]


O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [MsnMsgr] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoHotStart = 0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\michi\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\michi\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{7ab81bd0-ac5c-11de-ba98-de048ee8090a}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\Shell - "" = AutoRun
O33 - MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\Shell\Auto\command - "" = AdobeR.exe e
O33 - MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

NetSvcs: FastUserSwitchingCompatibility - File not found
NetSvcs: Ias - File not found
NetSvcs: Nla - File not found
NetSvcs: Ntmssvc - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: SRService - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: LogonHours - File not found
NetSvcs: PCAudit - File not found
NetSvcs: helpsvc - File not found
NetSvcs: uploadmgr - File not found


CREATERESTOREPOINT
Restore point Set: OTL Restore Point

========== Files/Folders - Created Within 30 Days ==========

[2011.08.13 13:01:48 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2011.08.13 11:32:53 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\michi\Desktop\OTL.exe
[2011.08.12 09:09:07 | 000,000,000 | ---D | C] -- C:\Users\michi\AppData\Roaming\Malwarebytes
[2011.08.12 09:08:53 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.08.12 09:08:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.08.12 09:08:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.08.12 09:08:48 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.08.12 09:08:48 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.08.11 19:47:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\WindowsPowerShell
[2011.07.18 20:45:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office
[2011.07.18 20:42:45 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\DESIGNER
[2011.07.18 20:40:45 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft.NET
[2006.11.24 07:14:44 | 000,139,264 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK_wiz.dll
[2006.11.24 07:14:44 | 000,126,976 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK.dll

========== Files - Modified Within 30 Days ==========

[2011.08.13 14:32:23 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.08.13 14:32:23 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.08.13 14:32:15 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.08.13 14:32:10 | 2145,566,720 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.13 14:31:34 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2011.08.13 14:22:48 | 196,200,630 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.08.13 13:30:16 | 000,000,000 | ---- | M] () -- C:\Users\michi\defogger_reenable
[2011.08.13 12:56:51 | 000,302,592 | ---- | M] () -- C:\Users\michi\Desktop\gmer.exe
[2011.08.13 12:55:36 | 000,050,477 | ---- | M] () -- C:\Users\michi\Desktop\Defogger.exe
[2011.08.13 11:32:53 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\michi\Desktop\OTL.exe
[2011.08.12 09:08:53 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.11 20:22:30 | 000,371,408 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.08.11 11:19:18 | 000,618,442 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.08.11 11:19:18 | 000,587,178 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.08.11 11:19:18 | 000,122,648 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.08.11 11:19:18 | 000,101,250 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.07.27 11:21:30 | 000,000,204 | ---- | M] () -- C:\Windows\System32\jp859rd.dll
[2011.07.27 11:21:30 | 000,000,100 | ---- | M] () -- C:\Windows\System32\prsgrc.dll
[2011.07.18 20:47:57 | 000,000,400 | ---- | M] () -- C:\Windows\ODBC.INI

========== Files Created - No Company Name ==========

[2011.08.13 14:13:30 | 2145,566,720 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.13 13:30:16 | 000,000,000 | ---- | C] () -- C:\Users\michi\defogger_reenable
[2011.08.13 12:56:51 | 000,302,592 | ---- | C] () -- C:\Users\michi\Desktop\gmer.exe
[2011.08.13 12:55:36 | 000,050,477 | ---- | C] () -- C:\Users\michi\Desktop\Defogger.exe
[2011.08.12 09:08:53 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.11 19:45:20 | 000,201,184 | ---- | C] () -- C:\Windows\System32\winrm.vbs
[2011.08.11 19:45:20 | 000,002,426 | ---- | C] () -- C:\Windows\System32\WsmTxt.xsl
[2011.08.11 19:45:19 | 000,004,675 | ---- | C] () -- C:\Windows\System32\wsmanconfig_schema.xml
[2010.05.04 11:31:16 | 000,106,605 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2010.05.04 11:31:16 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009.06.15 13:04:42 | 000,001,025 | ---- | C] () -- C:\Windows\System32\gyopt4j.dll
[2009.06.15 13:04:42 | 000,001,025 | ---- | C] () -- C:\Windows\System32\grcauth2.dll
[2009.06.15 13:04:42 | 000,001,025 | ---- | C] () -- C:\Windows\System32\grcauth1.dll
[2009.06.15 13:04:42 | 000,000,204 | ---- | C] () -- C:\Windows\System32\jp859rd.dll
[2009.06.15 13:04:42 | 000,000,100 | ---- | C] () -- C:\Windows\System32\prsgrc.dll
[2009.06.15 13:04:41 | 000,001,025 | ---- | C] () -- C:\Windows\System32\clauth2.dll
[2009.06.15 13:04:41 | 000,001,025 | ---- | C] () -- C:\Windows\System32\clauth1.dll
[2009.06.15 13:04:40 | 000,000,072 | ---- | C] () -- C:\Windows\System32\ssprs.dll
[2009.06.15 13:04:40 | 000,000,016 | -H-- | C] () -- C:\Windows\System32\mb6a5lr.dll
[2009.01.20 17:36:59 | 000,000,552 | ---- | C] () -- C:\Users\michi\AppData\Local\d3d8caps.dat
[2008.02.24 15:28:19 | 000,014,848 | ---- | C] () -- C:\Users\michi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.01.03 17:12:43 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2007.08.08 01:17:39 | 000,221,184 | ---- | C] () -- C:\Windows\SetDisplayResolution.exe
[2007.08.08 00:52:09 | 000,377,856 | ---- | C] () -- C:\Windows\System32\SetAutoConsole.exe
[2007.08.08 00:50:59 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2007.08.08 00:50:59 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2007.08.08 00:32:28 | 000,040,960 | ---- | C] () -- C:\Windows\System32\IhDEV.exe
[2007.08.08 00:32:28 | 000,024,576 | ---- | C] () -- C:\Windows\System32\IhINF.exe
[2007.08.08 00:21:37 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2007.08.07 07:13:29 | 000,618,442 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2007.08.07 07:13:29 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2007.08.07 07:13:29 | 000,122,648 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2007.08.07 07:13:29 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2007.08.07 07:06:44 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2007.08.07 07:06:40 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2007.08.07 07:06:40 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2007.08.07 07:06:40 | 000,144,773 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2007.04.24 11:32:56 | 000,389,120 | ---- | C] () -- C:\Windows\System32\btwhidcs.dll
[2007.02.26 09:49:12 | 006,139,774 | ---- | C] () -- C:\Windows\System32\imagine digital freedom.dat
[2007.02.15 09:51:02 | 000,274,432 | ---- | C] () -- C:\Windows\System32\NDADLL.dll
[2006.11.29 10:00:30 | 000,045,056 | ---- | C] () -- C:\Windows\System32\MAWebControl.exe
[2006.11.29 10:00:28 | 000,307,200 | ---- | C] () -- C:\Windows\System32\LDBGenWizView.dll
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,371,408 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,587,178 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,101,250 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006.10.09 03:01:28 | 000,061,440 | ---- | C] () -- C:\Windows\System32\AVSAudioWideStereoDMO.dll
[2006.05.04 10:36:12 | 000,245,760 | R--- | C] () -- C:\Windows\System32\setupsup.dll
[2003.02.20 19:53:42 | 000,005,702 | ---- | C] () -- C:\Windows\System32\OUTLPERF.INI
[2001.11.14 06:56:00 | 001,802,240 | ---- | C] () -- C:\Windows\System32\lcppn21.dll
[1996.03.22 00:32:26 | 000,162,304 | ---- | C] () -- C:\Windows\System32\DLWBC31.DLL

========== LOP Check ==========

[2010.09.20 20:50:18 | 000,000,000 | ---D | M] -- C:\Users\michi\AppData\Roaming\DNA
[2011.05.23 12:55:00 | 000,000,000 | ---D | M] -- C:\Users\michi\AppData\Roaming\elsterformular
[2010.09.08 13:27:21 | 000,000,000 | ---D | M] -- C:\Users\michi\AppData\Roaming\EndNote
[2010.06.07 15:41:22 | 000,000,000 | ---D | M] -- C:\Users\michi\AppData\Roaming\ICQ
[2010.05.04 21:18:05 | 000,000,000 | ---D | M] -- C:\Users\michi\AppData\Roaming\Opera
[2011.08.13 14:31:35 | 000,032,530 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*. >
[2007.10.22 18:04:16 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2007.08.08 01:32:12 | 000,000,000 | ---D | M] -- C:\avs contents
[2010.05.03 19:45:25 | 000,000,000 | -HSD | M] -- C:\Boot
[2006.11.02 15:02:03 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2007.10.22 17:58:37 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2007.10.25 11:23:11 | 000,000,000 | ---D | M] -- C:\mibi
[2010.05.03 19:31:24 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2007.10.25 11:24:08 | 000,000,000 | ---D | M] -- C:\Pflanzengenetik
[2011.08.12 09:08:48 | 000,000,000 | R--D | M] -- C:\Program Files
[2011.08.12 09:08:51 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2007.10.22 17:58:37 | 000,000,000 | -HSD | M] -- C:\Programme
[2007.08.08 00:54:30 | 000,000,000 | ---D | M] -- C:\Samsung
[2011.08.13 14:50:13 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.09.20 19:56:40 | 000,000,000 | ---D | M] -- C:\temp
[2007.10.22 18:02:37 | 000,000,000 | R--D | M] -- C:\Users
[2011.08.13 14:22:48 | 000,000,000 | ---D | M] -- C:\Windows

< %PROGRAMFILES%\*.exe >

< %LOCALAPPDATA%\*.exe >

< %systemroot%\*. /mp /s >


< MD5 for: EXPLORER.EXE >
[2008.10.29 08:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\explorer.exe
[2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2008.10.30 05:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2008.01.06 17:08:03 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=6D06CD98D954FE87FB2DB8108793B399 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16549_none_4fac29707cae347a\explorer.exe
[2008.01.06 17:08:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=BD06F0BF753BC704B653C3A50F89D362 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20668_none_501f261995dcf2cf\explorer.exe
[2008.10.28 04:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2006.11.02 11:45:07 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=FD8C53FB002217F6F888BCF6F5D7084D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe
[2008.01.19 09:33:10 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\SoftwareDistribution\Download\a1e88937d6124d37b0687188749b6202\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
[2008.01.19 09:33:10 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

< MD5 for: REGEDIT.EXE >
[2008.01.19 09:33:24 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\regedit.exe
[2008.01.19 09:33:24 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\SoftwareDistribution\Download\a1e88937d6124d37b0687188749b6202\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697\regedit.exe
[2008.01.19 09:33:24 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697\regedit.exe
[2006.11.02 11:45:35 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=F13123E76FDA33E55F11E0EB832E832A -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\regedit.exe

< MD5 for: USERINIT.EXE >
[2008.01.19 09:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\SoftwareDistribution\Download\a1e88937d6124d37b0687188749b6202\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2008.01.19 09:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.19 09:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2006.11.02 11:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe

< MD5 for: WININIT.EXE >
[2008.01.19 09:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\SoftwareDistribution\Download\a1e88937d6124d37b0687188749b6202\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2008.01.19 09:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008.01.19 09:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2006.11.02 11:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe

< MD5 for: WINLOGON.EXE >
[2006.11.02 11:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe
[2008.01.19 09:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\SoftwareDistribution\Download\a1e88937d6124d37b0687188749b6202\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
[2008.01.19 09:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\System32\winlogon.exe
[2008.01.19 09:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-08-11 18:13:12

< >

< End of report >


Vielen Dank im Voraus für Euer Bemühen. :dankeschoen:

Michi

cosinus 16.08.2011 11:32
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

zeromuffi 16.08.2011 12:20
Hallo Arne,

habe bisher keine weiteren Scans mit Malwarebytes durchgeführt...

Wie soll ich weiter vorgehen?

VG, Michi

cosinus 16.08.2011 13:31
Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

zeromuffi 16.08.2011 20:21
Sorry, hat länger gedauert als gedacht...

Im Folgenden der Inhalt der ESET-Log (leider scheint da noch etwas sein Unwesen auf meinem PC zu treiben :( )

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c0efc0645503064893d83f13bf7b4fc9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-16 07:03:10
# local_time=2011-08-16 09:03:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 284964 89031030 29410 0
# compatibility_mode=5892 16776574 100 100 40430 151048451 0 0
# compatibility_mode=8192 67108863 100 0 137 137 0 0
# scanned=186388
# found=1
# cleaned=0
# scan_time=5666
C:\Users\michi\AppData\Local\Opera\Opera\cache\g_001D\opr0E4JN.tmp JS/Exploit.Pdfka.PCW.Gen trojan (unable to clean) 00000000000000000000000000000000 I

cosinus 17.08.2011 10:13
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{7ab81bd0-ac5c-11de-ba98-de048ee8090a}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\Shell - "" = AutoRun
O33 - MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\Shell\Auto\command - "" = AdobeR.exe e
O33 - MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
:Files
C:\Users\michi\AppData\Local\Opera\Opera\cache\g_001D
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

zeromuffi 17.08.2011 17:14
Hey Arne,

im folgenden die Logfile für den OTL-Fix:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7ab81bd0-ac5c-11de-ba98-de048ee8090a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ab81bd0-ac5c-11de-ba98-de048ee8090a}\ not found.
File F:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb0b42f8-bbfa-11de-9244-915d4e7aa275}\ not found.
File G:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\ not found.
File AdobeR.exe e not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6657cee-b93c-11dc-b1fc-0013773dc3eb}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e not found.
========== FILES ==========
C:\Users\michi\AppData\Local\Opera\Opera\cache\g_001D folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08172011_180715

VG und vielen Dank für Deine Bemühungen... :)

cosinus 17.08.2011 21:27
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

zeromuffi 18.08.2011 08:31
Hey,

habe das Tool ausgeführt. Es wurde nichts gefunden, so dass auch nichts entfernt werden musste...
Log findest du im Anhang, damit das hier nicht so unübersichtlich wird ;)

Gruß, Michi

cosinus 18.08.2011 11:30
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

zeromuffi 18.08.2011 14:19
So, ComboFix ist durch:

Combofix Logfile:
Code:
ComboFix 11-08-18.01 - michi 18.08.2011  13:59:56.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6001.1.1252.49.1031.18.2045.1204 [GMT 2:00]
ausgeführt von:: c:\users\michi\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
c:\windows\system32\msconfig.exe
c:\windows\system32\prsgrc.dll
Pass LEGAL for license information. Built Sat Jun 25 23:20 2011c:\windows\system32\jp859rd.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-07-18 bis 2011-08-18  ))))))))))))))))))))))))))))))
.
.
2011-08-18 12:10 . 2011-08-18 12:11        --------        d-----w-        c:\users\michi\AppData\Local\temp
2011-08-18 12:10 . 2011-08-18 12:10        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-08-18 07:44 . 2011-08-12 02:44        7152464        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{EFAE891B-0B02-47C7-A004-721CCE4FB0C8}\mpengine.dll
2011-08-17 16:07 . 2011-08-17 16:07        --------        d-----w-        C:\_OTL
2011-08-16 17:26 . 2011-08-16 17:26        --------        d-----w-        c:\program files\ESET
2011-08-16 07:24 . 2011-03-03 14:56        28672        ----a-w-        c:\windows\system32\Apphlpdm.dll
2011-08-16 07:24 . 2011-03-03 13:01        4240384        ----a-w-        c:\windows\system32\GameUXLegacyGDFs.dll
2011-08-13 13:28 . 2011-08-13 13:28        --------        d-----w-        c:\program files\7-Zip
2011-08-13 11:01 . 2011-08-13 11:01        --------        d-----w-        c:\program files\Common Files\Java
2011-08-12 07:09 . 2011-08-12 07:09        --------        d-----w-        c:\users\michi\AppData\Roaming\Malwarebytes
2011-08-12 07:08 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-12 07:08 . 2011-08-12 07:08        --------        d-----w-        c:\programdata\Malwarebytes
2011-08-12 07:08 . 2011-08-12 07:08        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2011-08-12 07:08 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-08-11 17:48 . 2010-09-20 09:25        231936        ----a-w-        c:\windows\system32\msshsq.dll
2011-08-11 17:44 . 2010-10-28 12:56        2048        ----a-w-        c:\windows\system32\tzres.dll
2011-08-11 17:44 . 2010-09-06 16:24        125952        ----a-w-        c:\windows\system32\srvsvc.dll
2011-08-11 17:44 . 2010-09-06 16:23        17920        ----a-w-        c:\windows\system32\netevent.dll
2011-08-11 17:42 . 2010-08-31 15:40        531968        ----a-w-        c:\windows\system32\comctl32.dll
2011-08-11 17:41 . 2011-05-02 15:58        738816        ----a-w-        c:\windows\system32\inetcomm.dll
2011-08-11 17:41 . 2011-02-16 15:35        430080        ----a-w-        c:\windows\system32\vbscript.dll
2011-08-11 17:41 . 2011-04-20 14:47        375808        ----a-w-        c:\windows\system32\winsrv.dll
2011-08-11 17:41 . 2011-04-20 14:44        49152        ----a-w-        c:\windows\system32\csrsrv.dll
2011-08-11 17:41 . 2010-12-29 17:41        323072        ----a-w-        c:\windows\system32\sbe.dll
2011-08-11 17:41 . 2010-12-29 17:41        153088        ----a-w-        c:\windows\system32\sbeio.dll
2011-08-11 17:41 . 2010-12-29 17:41        429056        ----a-w-        c:\windows\system32\EncDec.dll
2011-08-11 17:41 . 2010-12-29 17:39        177664        ----a-w-        c:\windows\system32\mpg2splt.ax
2011-08-11 17:30 . 2011-04-29 14:54        276992        ----a-w-        c:\windows\system32\schannel.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 17:14 . 2010-01-14 12:06        222080        ------w-        c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-24 723760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoHotStart"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]
R3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
R3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
R3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2007-08-07 13312]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        REG_MULTI_SZ          BthServ
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
mStart Page = hxxp://alice.aol.de
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{EE98BCE5-14D6-47C2-AEFA-77D672BEB98D}: NameServer = 139.30.8.7,139.30.8.8
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe
AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-08-18 14:11
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\users\michi\AppData\Local\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000004
.
Zeit der Fertigstellung: 2011-08-18  14:16:50
ComboFix-quarantined-files.txt  2011-08-18 12:16
.
Vor Suchlauf: 9 Verzeichnis(se), 33.760.079.872 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 33.751.851.008 Bytes frei
.
- - End Of File - - 19BF30A824FBCCA993ED10B5F187419D
--- --- ---

Grüße :)

cosinus 19.08.2011 13:22
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

zeromuffi 20.08.2011 11:31
Hey,

GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-19 17:58:38
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS542516K9A300 rev.BBCOC32P
Running: gmer.exe; Driver: C:\Users\michi\AppData\Local\Temp\pgloypow.sys


---- System - GMER 1.0.15 ----

SSDT            98D57F74                                                                                        ZwCreateThread
SSDT            98D57F60                                                                                        ZwOpenProcess
SSDT            98D57F65                                                                                        ZwOpenThread
SSDT            98D57F6F                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!KeInsertQueue + 411                                                                824B69D8 4 Bytes  [74, 7F, D5, 98] {JZ 0x81; AAD 0x98}
.text          ntoskrnl.exe!KeInsertQueue + 5E1                                                                824B6BA8 4 Bytes  [60, 7F, D5, 98] {PUSHA ; JG 0xffffffffffffffd8; CWDE }
.text          ntoskrnl.exe!KeInsertQueue + 5FD                                                                824B6BC4 4 Bytes  [65, 7F, D5, 98]
.text          ntoskrnl.exe!KeInsertQueue + 811                                                                824B6DD8 4 Bytes  [6F, 7F, D5, 98] {OUTSD ; JG 0xffffffffffffffd8; CWDE }

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                          Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027875abd1                     
Reg            HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00027875abd1 (not active ControlSet) 

---- EOF - GMER 1.0.15 ----
--- --- ---

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:13:10 on 19.08.2011

OS: Windows Vista Home Premium Edition Service Pack 1 (Build 6001), 32-bit
Default Browser: Opera Software Opera Internet Browser 11.50

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\michi\AppData\Local\Temp\catchme.sys  (File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbamswissarmy.sys
"PDNMp50 NDIS Protocol Driver" (PDNMp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\Windows\system32\drivers\PDNMp50.sys
"PDNSp50 NDIS Protocol Driver" (PDNSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\Windows\system32\drivers\PDNSp50.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"winelpka" (winelpka) - ? - C:\Windows\system32\drivers\winelpka.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -  (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -  (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -  (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Windows\system32\btncopy.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"BTTray.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"
"LanguageShortcut" - ? - "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NeroFilterCheck" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"RemoteControl" - "Cyberlink Corp." - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"StartCCC" - ? - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe  (File found, but it contains no detailed information)
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
"NBService" (NBService) - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll
"Samsung Update Plus" (Samsung Update Plus) - ? - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe  (File found, but it contains no detailed information)
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---


aswMBR-Log:

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-20 11:42:50
-----------------------------
11:42:50.747 OS Version: Windows 6.0.6001 Service Pack 1
11:42:50.747 Number of processors: 2 586 0xF0D
11:42:50.747 ComputerName: MICHI-PC UserName: michi
11:43:31.260 Initialize success
11:44:50.622 AVAST engine defs: 11081901
11:45:01.604 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
11:45:01.604 Disk 0 Vendor: Hitachi_HTS542516K9A300 BBCOC32P Size: 152627MB BusType: 3
11:45:03.710 Disk 0 MBR read successfully
11:45:03.710 Disk 0 MBR scan
11:45:03.742 Disk 0 unknown MBR code
11:45:03.742 Disk 0 scanning sectors +312578048
11:45:03.882 Disk 0 scanning C:\Windows\system32\drivers
11:45:19.217 Service scanning
11:45:21.120 Modules scanning
11:45:31.291 Disk 0 trace - called modules:
11:45:31.322 ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
11:45:31.322 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84adcac8]
11:45:31.322 3 CLASSPNP.SYS[8844a745] -> nt!IofCallDriver -> [0x84b295d0]
11:45:31.354 5 acpi.sys[87e386a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x84ab1648]
11:45:32.586 AVAST engine scan C:\Windows
11:45:43.069 AVAST engine scan C:\Windows\system32
11:50:09.970 AVAST engine scan C:\Windows\system32\drivers
11:50:25.398 AVAST engine scan C:\Users\michi
12:00:38.525 AVAST engine scan C:\ProgramData
12:04:48.608 Scan finished successfully
12:08:33.966 Disk 0 MBR has been saved successfully to "C:\Users\michi\Desktop\MBR.dat"
12:08:33.997 The log file has been saved successfully to "C:\Users\michi\Desktop\aswMBR.txt"

VG, Michi

cosinus 21.08.2011 13:57
Zitat:
11:45:03.742 Disk 0 unknown MBR code
Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

zeromuffi 22.08.2011 12:30
Hallo Arne,

den MBR-Fix hab ich durchgeführt. Das Logfile für den anschließenden aswMBR-Scan findest du nachfolgend:

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-22 12:01:18
-----------------------------
12:01:18.971 OS Version: Windows 6.0.6001 Service Pack 1
12:01:18.971 Number of processors: 2 586 0xF0D
12:01:18.971 ComputerName: MICHI-PC UserName: michi
12:01:19.751 Initialize success
12:01:29.361 AVAST engine defs: 11082101
12:01:40.140 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
12:01:40.156 Disk 0 Vendor: Hitachi_HTS542516K9A300 BBCOC32P Size: 152627MB BusType: 3
12:01:42.200 Disk 0 MBR read successfully
12:01:42.200 Disk 0 MBR scan
12:01:42.231 Disk 0 Windows VISTA default MBR code
12:01:42.231 Disk 0 scanning sectors +312578048
12:01:42.309 Disk 0 scanning C:\Windows\system32\drivers
12:01:53.447 Service scanning
12:01:55.023 Modules scanning
12:02:01.590 Disk 0 trace - called modules:
12:02:01.606 ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
12:02:01.622 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84b8bac8]
12:02:01.622 3 CLASSPNP.SYS[8844c745] -> nt!IofCallDriver -> [0x84ada8e8]
12:02:01.622 5 acpi.sys[87e3d6a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x84b22648]
12:02:02.261 AVAST engine scan C:\Windows
12:02:06.130 AVAST engine scan C:\Windows\system32
12:04:20.462 AVAST engine scan C:\Windows\system32\drivers
12:04:31.943 AVAST engine scan C:\Users\michi
12:13:23.482 AVAST engine scan C:\ProgramData
12:17:14.627 Scan finished successfully
12:26:26.118 Disk 0 MBR has been saved successfully to "C:\Users\michi\Desktop\MBR.dat"
12:26:26.118 The log file has been saved successfully to "C:\Users\michi\Desktop\aswMBR220811.txt"

Grüße, Michi

cosinus 22.08.2011 14:52
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


zeromuffi 23.08.2011 19:53
Hallo Arne,
Die Logs für die heute durchgeführten Scans findest Du weiter unten...
Malwarebytes hat nichts gefunden, SuperAntiSpyware hat einen Haufen Cookies aufgespürt und in Quarantäne verschoben (kann ich die bedenkenlos löschen???)
Der ESET-Scan meldet leider immer noch infizierte Dateien :headbang:...

Code:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7544

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

23.08.2011 17:14:50
mbam-log-2011-08-23 (17-14-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 296842
Laufzeit: 53 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/23/2011 at 12:02 PM

Application Version : 5.0.1118

Core Rules Database Version : 7591
Trace Rules Database Version: 5403

Scan type      : Complete Scan
Total Scan Time : 01:21:43

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 1 (Build 6.00.6001)
UAC On - Limited User (Administrator User)

Memory items scanned      : 728
Memory threats detected  : 0
Registry items scanned    : 37592
Registry threats detected : 0
File items scanned        : 142147
File threats detected    : 254

Adware.Tracking Cookie
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@ad.yieldmanager[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@adfarm1.adition[2].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@advertising[2].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@adx.chip[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@ar.atwola[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@at.atwola[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@atdmt[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@atwola[2].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@content.yieldmanager[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@content.yieldmanager[3].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@doubleclick[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@sevenoneintermedia.112.2o7[1].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@smartadserver[2].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@tacoda[2].txt
        C:\Users\michi\AppData\Roaming\Microsoft\Windows\Cookies\michi@tradedoubler[2].txt
        aka-cdn-ns.adtech.de [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        akamai.smartadserver.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        atdmt.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        banner-tracker.s3.amazonaws.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        cdn5.specificclick.net [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        imagesrv.adition.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        indieclick.3janecdn.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        macromedia.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        media.mtvnservices.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        media.mtvu.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        media.scanscout.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        media.stage-entertainment.de [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        media01.kyte.tv [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        secure-us.imrworldwide.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        serving-sys.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        spe.atdmt.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        vht.tradedoubler.com [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        www.euros4click.de [ C:\USERS\MICHI\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\Z5QLT6QK ]
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CDN5.SPECIFICCLICK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.ADTECHUS[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@HANSENET.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.PERFORMANCE-ADSERVER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STEPSTONE.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STATS.PAYPAL[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@NEBENJOB-FINDER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@EAS4.EMEDIATE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@XITI[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.YIELDMANAGER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.123RECHT[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.PLANETACTIVE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.WIDGETBUCKS[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@EB.ADBUREAU[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STATCOUNTER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WFK4CHD5OCO.STATS.ESOMNITURE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.NEUDESICMEDIAGROUP[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STAT.LOVEPARADE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WNK4APDJWBQ.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.ANGRYAPE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.NOISY[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD2.ONAD[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.CROSSWORXS[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.TRAFFICTRACK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WAKIOIDZWFO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ATWOLA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@APMEBF[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.QUISMA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ADITION[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@A7.ADSERVER01[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.71I[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGKYKND5SKO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.TRAFFICTRACK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ADSERVER01[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@A6.ADSERVER01[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@A2.ADSERVER01[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WISSENDE.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@OVERTURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@COUNT.XHIT[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.MAKEIT-ONLINE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WMKOKHD5MEO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.SUN[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.AOL[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@FASTCLICK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.HTTPOOL[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJL4SJC5IBO.STATS.ESOMNITURE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@BANNERBLOGGER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@INSIGHTEXPRESSAI[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@UK.AT.ATWOLA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.KLICKTEL[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.MONSTER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ZANOX[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.MINDSHARE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.FINANCESCOUT24[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.KLICKTEL[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ZANOX[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WDLISGDPAKO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.MEDIAFLITE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLYQOAJKDQ.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@OPTIMIZE.INDIECLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@IMRWORLDWIDE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRAFFICTRACK.3GNET[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@HMT.CONNEXPROMOTIONS[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CDN.AT.ATWOLA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.COUNTER-GRATIS[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WFKIKPAJIBO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@EUROS4CLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ZANOX-AFFILIATE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADCENTRICONLINE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@MEDIAPLEX[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SMARTADSERVER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@VODAFONEGROUP.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@YOUPORN[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGLOOGAJECO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJL4KOAJCFP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@HIMEDIA.INDIVIDUAD[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ZYBCOM.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.ETRACKER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@YOUPORN[3].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WW251.SMARTADSERVER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SERVER.LON.LIVEPERSON[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADVERTISING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WDMIWMAJAHO.STATS.ESOMNITURE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.BOREUS[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@FINANZPORTAL20.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SERVER.LON.LIVEPERSON[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STATS.LINX[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.FAMILYMEDIA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.HANNOVERSCHE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLOSKC5SHQ.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CONTENT.YIELDMANAGER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STAT.DEALTIME[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.FAMDIREKT[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SPECIFICCLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADFARM1.ADITION[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.THELABELFINDER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.COUNTERGRATIS[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@GENERALTRACKING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@VALUECLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW3.SMARTADSERVER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AUTOSCOUT24.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@COLLECTIVE-MEDIA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@FL01.CT2.COMCLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@UNITYMEDIA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SHOP.ZANOX[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.RESEARCHGATE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLIKICJSAP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@M1.WEBSTATS.MOTIGO[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STATSE.WEBTRENDSLIVE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.BEEPWORLD[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[7].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[5].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[6].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[3].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.WEBTREKK[4].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@KUPONA.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.71I[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TTO2.TRAFFICTRACK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADOPT.EUROCLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@247REALMEDIA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJK4AMAZIDQ.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WDKOWIDZMDP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.MOVIEMAZE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.ADSERVEX[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADTECH[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.DZO-MARKETING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CASALEMEDIA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADVIVA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGLYWOCZCEO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@2O7[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRADEDOUBLER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WMK4EGD5OHQ.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.EASYAD[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SERVING-SYS[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ADNET[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.EFFILIATION[3].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLOKOAJKBP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WEBMASTERPLAN[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ERO-ADVERTISING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSRV.ADMEDIATE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WBMISNC5CDP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS-DEV.YOUPORN[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.ACTIVE-TRACKING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACK.EFFILIATION[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.HBV[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGLOCNC5KAP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.AD-SRV[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ZIELTRACK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@BS.SERVING-SYS[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRAFFICTRACK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@008.FREE-COUNTERS.CO[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@DE.AT.ATWOLA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WDLIAGDJEEP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD1.CHEFKOCH[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.BAUERVERLAG[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.QUARTERMEDIA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@FRONTLINEGMBH.122.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@NACAMAR.ADBUREAU[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLYWKD5AAP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGMYAGDJWGP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@THELABELFINDER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@PAYPAL.112.2O7[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CMPMEDICA.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLIKGCJMCO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TELE2DE.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.SMARTADSERVER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@LABELFINDER.GQ-MAGAZIN[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJMYGKCZWFO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@FR.AT.ATWOLA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ICE.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ROITRACKING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ATDMT[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ADC-SERV[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.ADFILL[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AD.AMBIWEB[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.ADSHOPPING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.AS4X.TMCS.TICKETMASTER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.BASECOM[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.BLOG[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS.HEIAS[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADS2.WWE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ADSERVER.ANSCHLUSSTOR[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@AT.ATWOLA[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@BLUESTREAK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@CHITIKA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@COUNTOMAT[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@DOUBLECLICK[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WCKIWLD5OBP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WDL4ELDZWFP.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WGMYOJCPKKO.STATS.ESOMNITURE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@E-2DJ6WJLOSGD5WFP.STATS.ESOMNITURE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@EAS.APM.EMEDIATE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@GO.DYNAMIC-TRACKING[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@IM.BANNER.T-ONLINE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@INTERCLICK[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@MEDIA.PHOTOBUCKET[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@MEDIA6DEGREES[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@NEXTAG[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@REVSCI[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ROISERVICE[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ROTATOR.ADJUGGLER[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SERVER.IAD.LIVEPERSON[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SEVENONEINTERMEDIA.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SOCIALMEDIA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SIXTGMBH.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@SONYEUROPE.112.2O7[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@STAT.ONESTAT[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TACODA[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRACKING.3GNET[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@TRIBALFUSION[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WW57.SMARTADSERVER[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[1].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[3].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[4].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[5].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.GOOGLEADSERVICES[6].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@WWW.ZANOX-AFFILIATE[2].TXT
        C:\USERS\MICHI\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\MICHI@ZBOX.ZANOX[2].TXT
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c0efc0645503064893d83f13bf7b4fc9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-16 07:03:10
# local_time=2011-08-16 09:03:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 284964 89031030 29410 0
# compatibility_mode=5892 16776574 100 100 40430 151048451 0 0
# compatibility_mode=8192 67108863 100 0 137 137 0 0
# scanned=186388
# found=1
# cleaned=0
# scan_time=5666
C:\Users\michi\AppData\Local\Opera\Opera\cache\g_001D\opr0E4JN.tmp        JS/Exploit.Pdfka.PCW.Gen trojan (unable to clean)        00000000000000000000000000000000        I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c0efc0645503064893d83f13bf7b4fc9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-23 05:51:24
# local_time=2011-08-23 07:51:24 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 439954 89631644 25487 0
# compatibility_mode=5892 16776574 100 100 279987 151649065 0 0
# compatibility_mode=8192 67108863 100 0 600751 600751 0 0
# scanned=177194
# found=1
# cleaned=0
# scan_time=5547
C:\_OTL\MovedFiles\08172011_180715\C_Users\michi\AppData\Local\Opera\Opera\cache\g_001D\opr0E4JN.tmp        JS/Exploit.Pdfka.PCW.Gen trojan (unable to clean)        00000000000000000000000000000000        I
Grüße

cosinus 23.08.2011 20:28
Zitat:
C:\_OTL\MovedFiles\08172011_180715\C_Users\michi\AppData\Local\Opera\Opera\cache\g_001D\opr0E4JN.tmp JS/Exploit.Pdfka.PCW.Gen trojan (unable to clean)
kannst du ignorieren. Das ist ein Schädling, dem wir mit OTL das Handwerk gelegt haben.
Die Cookies sind harmlos ;)
Rechner wieder im Lot?

zeromuffi 24.08.2011 10:26
Zitat:
kannst du ignorieren.
:daumenhoc Da bin ich ja beruhigt. Hatte schon Angst, der ganze Spaß würde wieder von vorn losgehen...

Zitat:
Rechner wieder im Lot?
Der Rechner läuft ohne Probleme. Bisher gabs keine weiteren Angriffe.

Abschließend hab ich da noch ein paar Fragen, mit denen ich dich nerven muss:

1. Worauf muss ich achten, damit sich mein Rechner nicht so schnell wieder infiziert?

2. Soll ich alle Programme, die bei der Bereinigung zum Einsatz kamen, deinstallieren?

3. Welchen (kostenlosen) Virenscanner würdest du mir empfehlen?

4. Sollte ich alle Passwörter ändern?

VG, Michi :)

cosinus 24.08.2011 14:06
Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:
  1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
  2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
  3. Führe regelmäßig Backups auf externe Medien durch
  4. Arbeite mit eingeschränkten Rechten
  5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
  6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
  7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
  8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File


Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?



Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

zeromuffi 25.08.2011 16:57
Hey Arne,

ich werde deine Ratschläge beherzigen, damit ich hier im Forum nicht so schnell wieder um Hilfe bitten muss. ;)

Vielen vielen Dank für Deine kompetente und umfassende Hilfe. Allein wär ich komplett aufgeschmissen gewesen... Euer Board kann man nur empfehlen. :daumenhoc

Ach so: wie soll ich jetzt mit meinen Passwörtern verfahren? Ändern? (bin mir da unsicher, ob das nötig ist-vor allem in Bezug auf Online-Banking...:confused:)

VG, Michi

cosinus 25.08.2011 19:56
hab ich doch geschrieben!

Zitat:
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

zeromuffi 26.08.2011 08:56
Oh sorry, das hatte ich komplett übersehen :stirn:

Vielen Dank noch mal und viel Erfolg weiterhin im Kampf gegen die nervigen Schädlinge...

:dankeschoen: Michi


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131