Trojaner-Board - Verschlüsselungstrojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Verschlüsselungstrojaner - Alle Dateien weg! (https://www.trojaner-board.de/116884-verschluesselungstrojaner-alle-dateien-weg.html)

Verschlüsselungstrojaner - Alle Dateien weg!

Hallo,

ein Bekannter von mir hat sein PC infiziert mit einem Verschlüsselungstrojaner vor ein paar Tagen. Seiner Aussage nach, wollte er nur eine Rechnung öffnen.

Alle Dateien sind nun verschlüsselt und es gibt keine Originale mehr daher konnte ich bisher nicht die 8 Tools benutzten. Was ich bisher gemacht hab ist, einmal Antivir sowie Malwarebytes auszuführen. Dabei konnte ich einiges entfernen.

Leider komme ich nun beim dem entschlüsseln der Dateien nicht mehr weiter.

Kann mir jmd helfen bitte?

VG

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Hallo, danke für die Infos.

Hier die Logs:

Malware:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.08.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

0 :: HORLING [Administrator]
 

Schutz: Aktiviert
 

08.06.2012 18:43:34

mbam-log-2012-06-08 (18-43-34).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 233838

Laufzeit: 49 Minute(n), 35 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 12

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5D79F641-C168-40DF-A32F-BACEA7509E75} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D79F641-C168-40DF-A32F-BACEA7509E75} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C98D5B61-B0EA-4D48-9839-1079D352D880} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C98D5B61-B0EA-4D48-9839-1079D352D880} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04D2B915-19FF-41E9-994D-95DC898BEA43} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\CROSSRIDER (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 3

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\Software\Crossrider|215AppVerifier (Adware.GamePlayLab) -> Daten: 4d9c6538151f45afff506e620882fffe -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 5

C:\Dokumente und Einstellungen\0\Eigene Dateien\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\is1590112554\IWantThis_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NPS021B\SoftonicDownloader_fuer_microsoft-word-viewer[1].exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B9DER1VY\SoftonicDownloader_fuer_portable-openoffice[1].exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{B8334092-D464-4B18-B06D-38EFF2D7037D}\RP6\A0003279.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Antivir:

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Freitag, 8. Juni 2012  15:48
 

Es wird nach 3806151 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : HORLING
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00

AVSCAN.EXE     : 12.3.0.15     466896 Bytes  09.05.2012 06:56:08

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  09.05.2012 06:56:08

LUKE.DLL       : 12.3.0.15      68304 Bytes  09.05.2012 06:56:09

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 06:56:10

AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 06:59:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 12:05:55

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:10:35

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:51:17

VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 06:57:28

VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 06:57:28

VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 06:57:28

VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 06:57:28

VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 06:57:28

VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 06:57:28

VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 06:57:29

VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 06:57:29

VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 06:57:29

VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 09:07:23

VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 09:07:29

VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 09:07:26

VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 09:07:29

VBASE018.VDF   : 7.11.31.57    188416 Bytes  28.05.2012 09:07:32

VBASE019.VDF   : 7.11.31.111   214528 Bytes  30.05.2012 09:07:35

VBASE020.VDF   : 7.11.31.151   116736 Bytes  31.05.2012 09:07:35

VBASE021.VDF   : 7.11.31.205   134144 Bytes  03.06.2012 09:55:55

VBASE022.VDF   : 7.11.32.9     169472 Bytes  05.06.2012 13:30:34

VBASE023.VDF   : 7.11.32.10      2048 Bytes  05.06.2012 13:30:34

VBASE024.VDF   : 7.11.32.11      2048 Bytes  05.06.2012 13:30:34

VBASE025.VDF   : 7.11.32.12      2048 Bytes  05.06.2012 13:30:34

VBASE026.VDF   : 7.11.32.13      2048 Bytes  05.06.2012 13:30:34

VBASE027.VDF   : 7.11.32.14      2048 Bytes  05.06.2012 13:30:34

VBASE028.VDF   : 7.11.32.15      2048 Bytes  05.06.2012 13:30:34

VBASE029.VDF   : 7.11.32.16      2048 Bytes  05.06.2012 13:30:35

VBASE030.VDF   : 7.11.32.17      2048 Bytes  05.06.2012 13:30:35

VBASE031.VDF   : 7.11.32.70    114688 Bytes  08.06.2012 13:30:37

Engineversion  : 8.2.10.80 

AEVDF.DLL      : 8.1.2.8       106867 Bytes  02.06.2012 09:07:32

AESCRIPT.DLL   : 8.1.4.24      450939 Bytes  01.06.2012 09:07:52

AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 15:21:01

AESBX.DLL      : 8.2.5.10      606580 Bytes  30.05.2012 09:08:51

AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02

AEPACK.DLL     : 8.2.16.16     807288 Bytes  30.05.2012 09:08:40

AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  27.04.2012 07:47:05

AEHEUR.DLL     : 8.1.4.36     4874615 Bytes  01.06.2012 09:07:50

AEHELP.DLL     : 8.1.21.0      254326 Bytes  11.05.2012 06:57:42

AEGEN.DLL      : 8.1.5.28      422260 Bytes  27.04.2012 07:46:43

AEEXP.DLL      : 8.1.0.44       82293 Bytes  30.05.2012 09:08:53

AEEMU.DLL      : 8.1.3.0       393589 Bytes  14.12.2011 23:30:58

AECORE.DLL     : 8.1.25.10     201080 Bytes  01.06.2012 09:07:37

AEBB.DLL       : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  09.05.2012 06:56:08

AVPREF.DLL     : 12.3.0.15      51920 Bytes  09.05.2012 06:56:08

AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 06:56:10

AVARKT.DLL     : 12.3.0.15     211408 Bytes  09.05.2012 06:56:08

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  09.05.2012 06:56:08

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  09.05.2012 06:56:09

AVSMTP.DLL     : 12.3.0.15      63440 Bytes  09.05.2012 06:56:08

NETNT.DLL      : 12.3.0.15      17104 Bytes  09.05.2012 06:56:09

RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  09.05.2012 06:56:08

RCTEXT.DLL     : 12.3.0.15      98512 Bytes  09.05.2012 06:56:08
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120608-154655-05BCD534.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Freitag, 8. Juni 2012  15:48
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht

Durchsuche Prozess 'mscorsvw.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht

Durchsuche Prozess 'MPAPI3s.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'PcSync2.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'msmsgs.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'SweetIM.exe' - '55' Modul(e) wurden durchsucht

Durchsuche Prozess 'LAUNCH~1.EXE' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxtray.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '798' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\0\Eigene Dateien\Alle Fotos und Bilder\heirat 29.07.09\NOevrpeaNDDuXXgva

  [WARNUNG]   Der Archivheader ist defekt

C:\Dokumente und Einstellungen\0\Eigene Dateien\Downloads\Nicht bestätigt 85512.crdownload

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\is259369358\MediaFinder_setup.exe

  [WARNUNG]   Die Datei ist kennwortgeschützt

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NPS021B\zoola_findamo_bundle[1]

  --> Object

      [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NPS021B\zoola_findamo_bundle[1].exe

  --> Object

      [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FCQDFCGT\zoola_findamo_bundle[1].exe

  --> Object

      [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KERUB7WI\zoola_findamo_bundle[2].exe

  --> Object

      [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

Beginne mit der Suche in 'D:\' <RECOVER>

D:\Daten Horling\Alle Fotos und Bilder\heirat 29.07.09\NTvesggOXuDrTJsgpuDaJ

  [WARNUNG]   Der Archivheader ist defekt
 

Beginne mit der Desinfektion:

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KERUB7WI\zoola_findamo_bundle[2].exe

  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 53e88c19.qua erstellt ( QUARANTÄNE )

  [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FCQDFCGT\zoola_findamo_bundle[1].exe

  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b7fa3be.qua erstellt ( QUARANTÄNE )

  [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NPS021B\zoola_findamo_bundle[1].exe

  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1920f956.qua erstellt ( QUARANTÄNE )

  [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8NPS021B\zoola_findamo_bundle[1]

  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen

  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 7f17b694.qua erstellt ( QUARANTÄNE )

  [HINWEIS]   Die Datei wurde gelöscht.
 
 

Ende des Suchlaufs: Freitag, 8. Juni 2012  18:28

Benötigte Zeit: 30:53 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   3083 Verzeichnisse wurden überprüft

  89876 Dateien wurden geprüft

      4 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      4 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      4 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

  89872 Dateien ohne Befall

    482 Archive wurden durchsucht

      4 Warnungen

      4 Hinweise

 238402 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

hier die Log-datei:

Code:



ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=ebd1354f074bed488e69274db0d327e3

# end=finished

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-06-10 09:52:50

# local_time=2012-06-10 11:52:50 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777191 100 0 13515488 13515488 0 0

# compatibility_mode=8192 67108863 100 0 236 236 0 0

# scanned=47856

# found=11

# cleaned=0

# scan_time=1785

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\ICReinstall_andrea_berg_-_du_hast_mich_1000_mal_belogen.mp3_downloader[1].exe        a variant of Win32/InstallCore.T application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\ICReinstall_ICReinstall_andrea_berg_-_du_hast_mich_1000_mal_belogen.mp3_downloader[1].exe        a variant of Win32/InstallCore.T application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\YontooIEClient.dll        a variant of Win32/Adware.Yontoo.A application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\YontooSetup-Silent.exe        Win32/Adware.Yontoo application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\850718.Uninstall\Uninstall.exe        a variant of Win32/InstallCore.R application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\91138734.Uninstall\Uninstall.exe        a variant of Win32/InstallCore.R application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\D67F600D-BAB0-7891-924E-CE3CEA0FB45A\Latest\MyBabylonTB.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\is1590112554\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe        probably a variant of Win32/Adware.HLQFYSH application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Temp\is1590112554\MyBabylonTB.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Yontoo\YontooIEClient.dll        a variant of Win32/Adware.Yontoo.A application (unable to clean)        00000000000000000000000000000000        I

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo,

zu 1: Windows lief soweit die ganze Zeit uneingeschränkt, bis auf die Verschlüsselung der Dateien und Bilder.

zu 2: Im Startmenü fehlt soweit nichts und es sind auch keine leeren Ordner vorhanden.

VG

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hier die log:

OTL Logfile:

Code:

OTL logfile created on: 11.06.2012 22:11:47 - Run 2

OTL by OldTimer - Version 3.2.47.0     Folder = C:\Dokumente und Einstellungen\0\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1015,29 Mb Total Physical Memory | 527,03 Mb Available Physical Memory | 51,91% Memory free

2,39 Gb Paging File | 1,89 Gb Available in Paging File | 79,20% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 129,05 Gb Total Space | 102,99 Gb Free Space | 79,81% Space Free | Partition Type: NTFS

Drive D: | 19,99 Gb Total Space | 7,59 Gb Free Space | 37,97% Space Free | Partition Type: FAT32

 

Computer Name: HORLING | User Name: 0 | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.06.08 21:09:54 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\0\Eigene Dateien\Downloads\OTL.exe

PRC - [2012.05.09 08:56:09 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2012.05.09 08:56:08 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe

PRC - [2012.05.09 08:56:08 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2012.05.09 08:56:08 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe

PRC - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe

PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe

PRC - [2012.02.16 15:29:02 | 000,114,992 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Programme\SweetIM\Messenger\SweetIM.exe

PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

PRC - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) -- C:\Programme\ShadowExplorer\sesvc.exe

PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2006.06.27 17:21:14 | 001,449,984 | ---- | M] (Time Information Services Ltd.) -- C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

PRC - [2006.06.15 13:36:18 | 000,229,376 | ---- | M] (Nokia) -- C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

PRC - [2006.06.09 11:37:18 | 000,471,552 | ---- | M] (Nokia Corporation) -- C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

PRC - [2006.06.05 14:59:18 | 000,174,080 | ---- | M] (Nokia.) -- C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

PRC - [2004.09.29 13:14:36 | 000,069,632 | ---- | M] (HP) -- C:\WINDOWS\system32\HPZipm12.exe

 

 
 ========== Modules (No Company Name) ==========

 

MOD - [2012.06.10 22:53:50 | 000,256,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\660c4d6dd69ef22bc05587e1998cd135\SMDiagnostics.ni.dll

MOD - [2012.06.10 22:53:35 | 017,403,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\bc254d2fa26664898ae21d45643bc194\System.ServiceModel.ni.dll

MOD - [2012.06.10 22:52:37 | 002,345,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\505e12638acd6fdb22e1fd2d4c6fc232\System.Runtime.Serialization.ni.dll

MOD - [2012.06.10 22:52:27 | 001,070,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\e09496ddb2bf6f3b69707924f2e6b5ff\System.IdentityModel.ni.dll

MOD - [2012.06.08 21:46:23 | 011,817,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\408a14028cdc4c24dfb8f241da428142\System.Web.ni.dll

MOD - [2012.06.08 21:37:21 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\dff877744c0f7f8752eb356f27edfa59\System.ServiceProcess.ni.dll

MOD - [2012.06.08 21:19:26 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\3d5b7368bde0f65aa15d9f46b498cc89\System.Configuration.ni.dll

MOD - [2012.06.08 21:11:59 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\3bba1b8b0b5ef0be238b011cc7a0575e\System.Xml.ni.dll

MOD - [2012.06.08 20:48:50 | 007,953,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll

MOD - [2012.06.08 20:32:26 | 000,040,960 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll

MOD - [2012.06.08 15:46:34 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll

MOD - [2012.05.09 08:56:09 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll

MOD - [2011.09.05 19:04:58 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2012.05.09 08:56:09 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2012.05.09 08:56:08 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)

SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)

SRV - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) [Auto | Running] -- C:\Programme\ShadowExplorer\sesvc.exe -- (sesvc)

SRV - [2006.06.05 14:59:18 | 000,174,080 | ---- | M] (Nokia.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- (ServiceLayer)

SRV - [2004.09.29 13:14:36 | 000,069,632 | ---- | M] (HP) [Auto | Running] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)

SRV - [2003.07.28 20:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

DRV - [2012.05.09 08:56:09 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2012.05.09 08:56:09 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)

DRV - [2011.12.15 16:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)

DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2008.09.09 19:07:36 | 004,813,824 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2008.06.27 17:40:18 | 001,315,776 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)

DRV - [2007.10.23 13:51:04 | 000,103,296 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)

DRV - [2005.07.25 04:04:08 | 000,048,640 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?crg=3.1010000.10002&barid={9327BCC1-3D9F-43F9-8DEC-422BD579C456}

IE - HKLM\..\URLSearchHook: {66a449dc-6b1d-4187-a4f1-b335d3da5365} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM\..\SearchScopes\{2059CF48-25F3-40d7-9D37-24A3142FD20B}: "URL" = hxxp://slirsredirect.search.aol.com/redirector/sredir?sredir=3379&q={searchTerms}&rp=&s_it=tb50-ie-aolde-chromesbox-de-de

IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYde&ptnrS=XPxdm049YYde&si=2271&ptb=07A33E9A-0B4D-4FE3-9DB6-B8DFBCF59CE9&psa=&ind=2012050510&st=sb&n=77ed744e&searchfor={searchTerms}

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={9327BCC1-3D9F-43F9-8DEC-422BD579C456}

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.internetcologne.de/ [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.internetcologne.de/

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AA A8 62 6D 97 3F CD 01  [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\SearchScopes,DefaultScope = {4D7DF414-6E67-425A-8F62-5B4E28A585DE}

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\SearchScopes\{4D7DF414-6E67-425A-8F62-5B4E28A585DE}: "URL" = hxxp://www.google.de/search?q={searchTerms}

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\SearchScopes\{55AACFD6-0FE3-401A-ABA2-7074C9797AC8}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&r=

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll File not found

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll File not found

 

 

[2012.06.02 14:33:27 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

 
 ========== Chrome  ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\19.0.1084.52\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\19.0.1084.52\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\19.0.1084.52\gcswf32.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\

 

O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (AOL Deutschland Toolbar Loader) - {2d3b1910-86c2-4d4b-b1db-124b3ea35bef} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo\YontooIEClient.dll (Yontoo LLC)

O3 - HKLM\..\Toolbar: (AOL Deutschland Toolbar) - {567d4d94-8077-4682-b887-945f3d644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (AOL Deutschland Toolbar) - {567D4D94-8077-4682-B887-945F3D644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe (Nokia)

O4 - HKLM..\Run: [RegUse] C:\Programme\RegUse\RegUse.exe (Honlyn (Macao Commercial Offshore) Limited)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003..\Run: [Google Update] "C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c File not found

O4 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe (Time Information Services Ltd.)

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Web-Suche - C:\Programme\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3940BDA8-BE58-4118-9DB0-2DBC1FD57C16}: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: 

O24 - Desktop BackupWallPaper: 

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2012.01.06 13:48:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 

NetSvcs: 6to4 -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

MsConfig - StartUpReg: Google Update - hkey= - key= -  File not found

 

 

 

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7

ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework

ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.06.08 22:16:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip

[2012.06.08 22:16:28 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip

[2012.06.08 20:34:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\www.shadowexplorer.com

[2012.06.08 20:33:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ShadowExplorer

[2012.06.08 20:33:45 | 000,000,000 | ---D | C] -- C:\Programme\ShadowExplorer

[2012.06.08 20:30:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer

[2012.06.08 20:30:21 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild

[2012.06.08 20:30:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-US

[2012.06.08 20:30:12 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies

[2012.06.08 20:07:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\JPEGsnoop

[2012.06.08 19:52:41 | 000,000,000 | RH-D | C] -- C:\AHCache

[2012.06.08 19:43:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Sun

[2012.06.08 19:12:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\Kopie von Geburtstag Badewanne 28.01.2012

[2012.06.08 18:52:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun

[2012.06.08 18:52:11 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java

[2012.06.08 18:51:15 | 000,000,000 | ---D | C] -- C:\Programme\Oracle

[2012.06.08 18:51:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oracle

[2012.06.08 18:49:49 | 000,000,000 | ---D | C] -- C:\Programme\Java

[2012.06.08 18:38:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Sun

[2012.06.08 18:36:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Malwarebytes

[2012.06.08 18:36:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2012.06.08 18:36:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2012.06.08 18:36:08 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2012.06.08 18:36:08 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2012.06.08 15:27:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\PCHealth

[2012.06.04 03:04:51 | 000,000,000 | ---D | C] -- C:\240ecd4e48e4005080ce407abf

[2012.06.04 03:00:22 | 000,000,000 | ---D | C] -- C:\5998283966675f1834dd

[2012.06.04 03:00:19 | 000,000,000 | ---D | C] -- C:\831c6cd0f70a4f98afe9f110

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Programme\SweetIM

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2012.06.02 14:33:27 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox

[2012.06.02 14:25:05 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files

[2012.06.02 14:23:42 | 000,000,000 | ---D | C] -- C:\Programme\MSECache

[2012.06.02 14:10:02 | 000,000,000 | R-SD | C] -- C:\WINDOWS\assembly

[2012.06.02 14:09:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\Microsoft.NET

[2012.06.02 14:07:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Systweak

[2012.06.02 14:07:40 | 000,017,280 | ---- | C] (Systweak Inc., (www.systweak.com)) -- C:\WINDOWS\System32\roboot.exe

[2012.06.02 13:41:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2012.06.01 03:06:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\APN

[2012.06.01 03:06:11 | 000,000,000 | ---D | C] -- C:\Programme\RegUse

[2012.06.01 03:03:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\0\Recent

[2012.06.01 01:56:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oooo

[2012.05.30 14:47:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\video

[2012.05.30 14:47:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\Neuer2

[2012.05.30 14:46:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\Neuer Ordner

[2012.05.28 07:12:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PriceGong

[2012.05.28 07:12:26 | 000,000,000 | ---D | C] -- C:\Programme\Conduit

[2012.05.28 07:12:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Conduit

[2012.05.20 15:50:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\I. Foto 19.05.2011

[2012.05.14 15:25:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Desktop\rechnungen

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.06.11 22:08:00 | 000,001,194 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-861567501-1547161642-1003UA.job

[2012.06.11 18:55:35 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012.06.11 18:54:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012.06.10 22:03:34 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2012.06.10 22:03:34 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2012.06.10 22:03:34 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2012.06.10 22:03:34 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2012.06.08 21:08:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\0\defogger_reenable

[2012.06.08 21:05:30 | 000,110,192 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012.06.08 20:33:20 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2012.06.08 18:36:11 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2012.06.08 16:08:00 | 000,001,142 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2052111302-861567501-1547161642-1003Core.job

[2012.06.04 01:30:00 | 000,000,330 | ---- | M] () -- C:\WINDOWS\tasks\RegUse.job

[2012.06.03 13:28:33 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\0\Desktop\Microsoft Word.lnk

[2012.06.02 14:33:30 | 000,000,109 | ---- | M] () -- C:\user.js

[2012.06.01 03:03:40 | 000,000,602 | ---- | M] () -- C:\Dokumente und Einstellungen\0\Desktop\Verknüpfung mit easylife.lnk

[2012.05.30 14:50:01 | 000,000,564 | ---- | M] () -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\TQsalrQssgaaJJrp

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012.06.08 21:08:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\0\defogger_reenable

[2012.06.08 18:36:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2012.06.02 14:33:30 | 000,000,109 | ---- | C] () -- C:\user.js

[2012.06.02 14:24:21 | 000,002,619 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Word Viewer 2003.lnk

[2012.06.02 13:54:51 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK

[2012.06.01 03:06:34 | 000,000,330 | ---- | C] () -- C:\WINDOWS\tasks\RegUse.job

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320

[2012.05.30 23:03:30 | 000,000,602 | ---- | C] () -- C:\Dokumente und Einstellungen\0\Desktop\Verknüpfung mit easylife.lnk

[2012.03.04 22:35:46 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012.02.15 11:34:51 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2012.01.10 20:06:43 | 000,068,865 | ---- | C] () -- C:\WINDOWS\hpoins05.dat

[2012.01.10 20:06:43 | 000,019,696 | ---- | C] () -- C:\WINDOWS\hpomdl05.dat

[2012.01.06 15:00:05 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2012.01.06 13:58:19 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll

[2012.01.06 13:51:58 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2012.01.06 13:44:48 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2012.01.06 13:37:25 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2012.01.06 13:36:01 | 000,110,192 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

 
 ========== LOP Check ==========

 

[2012.06.01 02:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Babylon

[2012.03.16 16:31:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\DataLayer

[2012.06.08 20:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\JPEGsnoop

[2012.03.16 16:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Nokia

[2012.06.01 02:53:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Nokia Multimedia Player

[2012.06.01 22:32:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oooo

[2012.06.08 18:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oracle

[2012.03.16 16:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PC Suite

[2012.05.28 07:12:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PriceGong

[2012.06.02 20:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Systweak

[2012.06.08 20:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\www.shadowexplorer.com

[2012.05.05 16:56:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon

[2012.06.02 14:25:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files

[2012.03.16 16:16:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite

[2012.06.03 12:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2012.05.18 08:40:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer

[2012.03.10 18:24:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2012.06.04 01:30:00 | 000,000,330 | ---- | M] () -- C:\WINDOWS\Tasks\RegUse.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 
 < %ALLUSERSPROFILE%\Application Data\*. >

 
 < %ALLUSERSPROFILE%\Application Data\*.exe /s >

 
 < %APPDATA%\*. >

[2012.01.30 21:03:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Adobe

[2012.03.10 18:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Apple Computer

[2012.01.06 14:14:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Avira

[2012.06.01 02:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Babylon

[2012.03.16 16:31:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\DataLayer

[2012.01.06 13:54:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Identities

[2012.01.06 13:59:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\InstallShield

[2012.06.08 20:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\JPEGsnoop

[2012.01.06 15:05:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Macromedia

[2012.06.08 18:36:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Malwarebytes

[2012.06.08 20:35:09 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Microsoft

[2012.03.16 16:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Nokia

[2012.06.01 02:53:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Nokia Multimedia Player

[2012.06.01 22:32:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oooo

[2012.06.08 18:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Oracle

[2012.03.16 16:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PC Suite

[2012.05.28 07:12:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PriceGong

[2012.06.01 02:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Skype

[2012.06.08 18:38:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Sun

[2012.06.02 20:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Systweak

[2012.06.08 20:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\www.shadowexplorer.com

 
 < %APPDATA%\*.exe /s >

 
 < %SYSTEMDRIVE%\*.exe >

 
 < MD5 for: AGP440.SYS  >

[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys

 
 < MD5 for: ATAPI.SYS  >

[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys

[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys

[2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys

[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll

[2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll

[2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll

[2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll

[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe

[2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

[2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe

[2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2012.01.06 14:35:14 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav

[2012.01.06 14:35:14 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav

[2012.01.06 14:35:14 | 000,466,944 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 <           >
 

< End of report >

--- --- ---

VG

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10002&barid={9327BCC1-3D9F-43F9-8DEC-422BD579C456}

IE - HKLM\..\URLSearchHook: {66a449dc-6b1d-4187-a4f1-b335d3da5365} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM\..\SearchScopes\{2059CF48-25F3-40d7-9D37-24A3142FD20B}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=3379&q={searchTerms}&rp=&s_it=tb50-ie-aolde-chromesbox-de-de

IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYde&ptnrS=XPxdm049YYde&si=2271&ptb=07A33E9A-0B4D-4FE3-9DB6-B8DFBCF59CE9&psa=&ind=2012050510&st=sb&n=77ed744e&searchfor={searchTerms}

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={9327BCC1-3D9F-43F9-8DEC-422BD579C456}

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.internetcologne.de/ [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AA A8 62 6D 97 3F CD 01  [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\SearchScopes,DefaultScope = {4D7DF414-6E67-425A-8F62-5B4E28A585DE}

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.internetcologne.de/ [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AA A8 62 6D 97 3F CD 01  [binary data]

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\SearchScopes,DefaultScope = {4D7DF414-6E67-425A-8F62-5B4E28A585DE}

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 

CHR - Extension: SweetIM for Facebook = C:\Dokumente und Einstellungen\0\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\

O2 - BHO: (AOL Deutschland Toolbar Loader) - {2d3b1910-86c2-4d4b-b1db-124b3ea35bef} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo\YontooIEClient.dll (Yontoo LLC)

O3 - HKLM\..\Toolbar: (AOL Deutschland Toolbar) - {567d4d94-8077-4682-b887-945f3d644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (AOL Deutschland Toolbar) - {567D4D94-8077-4682-B887-945F3D644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Web-Suche - C:\Programme\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2012.01.06 13:48:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2012.06.04 03:04:51 | 000,000,000 | ---D | C] -- C:\240ecd4e48e4005080ce407abf

[2012.06.04 03:00:22 | 000,000,000 | ---D | C] -- C:\5998283966675f1834dd

[2012.06.04 03:00:19 | 000,000,000 | ---D | C] -- C:\831c6cd0f70a4f98afe9f110

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Programme\SweetIM

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2012.05.28 07:12:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PriceGong

[2012.05.28 07:12:26 | 000,000,000 | ---D | C] -- C:\Programme\Conduit

[2012.05.30 14:50:01 | 000,000,564 | ---- | M] () -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\TQsalrQssgaaJJrp

[2012.06.01 03:06:34 | 000,000,330 | ---- | C] () -- C:\WINDOWS\tasks\RegUse.job

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320

[2012.06.01 02:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Babylon

[2012.06.03 12:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

:Commands

[purity]

[emptytemp]

[emptyflash]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

wie lange sollte das ausführen vom Skript dauern? Es läuft schon eine weile und es scheint sich nichts zutun :/

VG

Metin

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Windows lässt sich nicht im Abgesicherten Modus starten...Er startet darauf hin immer wieder neu

Dann probier es bitte nochmal im normalen Modus mit diesem Fixscript:

Code:

:OTL

O2 - BHO: (AOL Deutschland Toolbar Loader) - {2d3b1910-86c2-4d4b-b1db-124b3ea35bef} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo\YontooIEClient.dll (Yontoo LLC)

O3 - HKLM\..\Toolbar: (AOL Deutschland Toolbar) - {567d4d94-8077-4682-b887-945f3d644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (AOL Deutschland Toolbar) - {567D4D94-8077-4682-B887-945F3D644116} - C:\Programme\AOL Deutschland Toolbar\aoldetb.dll (AOL Inc.)

O3 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-2052111302-861567501-1547161642-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Web-Suche - C:\Programme\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2012.01.06 13:48:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2012.06.04 03:04:51 | 000,000,000 | ---D | C] -- C:\240ecd4e48e4005080ce407abf

[2012.06.04 03:00:22 | 000,000,000 | ---D | C] -- C:\5998283966675f1834dd

[2012.06.04 03:00:19 | 000,000,000 | ---D | C] -- C:\831c6cd0f70a4f98afe9f110

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Programme\SweetIM

[2012.06.02 14:38:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2012.05.28 07:12:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\PriceGong

[2012.05.28 07:12:26 | 000,000,000 | ---D | C] -- C:\Programme\Conduit

[2012.05.30 14:50:01 | 000,000,564 | ---- | M] () -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\TQsalrQssgaaJJrp

[2012.06.01 03:06:34 | 000,000,330 | ---- | C] () -- C:\WINDOWS\tasks\RegUse.job

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324

[2012.06.01 01:56:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321

[2012.06.01 01:56:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320

[2012.06.01 02:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\0\Anwendungsdaten\Babylon

[2012.06.03 12:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

:Commands

[purity]

[emptytemp]

[emptyflash]

[resethosts]

Leider keine Veränderung. OTL läuft mit dem neuen Fixscript wieder seit 30 min ohne das sich was tut :/ :killpc: