Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechner wurde gesperrt inkl. Web-Cam oben links (https://www.trojaner-board.de/120905-rechner-wurde-gesperrt-inkl-web-cam-oben-links.html)

woodeye 31.07.2012 19:53
Rechner wurde gesperrt inkl. Web-Cam oben links
 
hallo

mein pc wurde gestern abend gesperrt. pc neustart etc. ging nicht mehr.

per laptop habe ich mir lt. anleitung von chip den windows unlocker kaspersky runtergeladen und den pc per cd neu gestartet. anschließend den unlocker ausgeführt. danach noch mit diesem programm die festplatte c untersucht. der scan stoppte 2x und ich habe mit L (delete) bestätigt. (ein bild habe ich per handy gemacht) hoffe das löschen war kein fehler.

- nun konnte ich windows wieder nomal starten
- die desktopsymbole waren komischer weise nicht mehr sichtbar (habe ich wieder unter ansicht angeklickt.

nun wie ich hier überall lese ist das system wohl noch nicht bereinigt. also habe ich eure anleitungen befolgt und als erstes

- Malwarebytes Anti-Malware gestartet und folgendes wurde gefunden.
Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.


danach habe ich OTL durchlaufen lassen

alle 3 dateien habe ich angefügt. muss ich jetzt noch was beachten, ändern, etc.???

vielen dank schon jetzt

woodeye 31.07.2012 21:03
defogger und gmer hier angefügt.


Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:22 on 31/07/2012 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-



Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-31 21:55:11
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 WDC_WD6400AAKS-65A7B2 rev.01.03B01
Running: mvfjqsz8.exe; Driver: C:\Users\***\AppData\Local\Temp\pwdiypog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwAddBootEntry [0xA9A2B536]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwAllocateVirtualMemory [0xAA71D7BA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwAssignProcessToJobObject [0xA9A2BF52]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateEvent [0xA9A36D7A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateEventPair [0xA9A36DC6]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateIoCompletion [0xA9A36F48]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateMutant [0xA9A36CE8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwCreateSection [0xAA71DBAC]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateSemaphore [0xA9A36D30]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateThread [0xA9A2C146]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateThreadEx [0xA9A2C2CE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwCreateTimer [0xA9A36F02]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwDebugActiveProcess [0xA9A2C8CA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwDeleteBootEntry [0xA9A2B584]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwFreeVirtualMemory [0xAA71D89E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwLoadDriver [0xA9A2B1EC]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwModifyBootEntry [0xA9A2B5D2]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwNotifyChangeKey [0xA9A302A8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwNotifyChangeMultipleKeys [0xA9A2D292]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenEvent [0xA9A36DA4]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenEventPair [0xA9A36DE8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenIoCompletion [0xA9A36F6C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenMutant [0xA9A36D0E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenSection [0xA9A36E8C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenSemaphore [0xA9A36D58]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwOpenTimer [0xA9A36F26]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwProtectVirtualMemory [0xAA71DA1E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwQueryObject [0xA9A2D15E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwQueueApcThreadEx [0xA9A2CE9A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSetBootEntryOrder [0xA9A2B620]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSetBootOptions [0xA9A2B66E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSetContextThread [0xA9A2C74A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSetSystemInformation [0xA9A2B276]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSetSystemPowerState [0xA9A2B426]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwShutdownSystem [0xA9A2B3CC]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSuspendProcess [0xA9A2CA2C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSuspendThread [0xA9A2CB88]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwSystemDebugControl [0xA9A2B496]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwTerminateProcess [0xAA71DAE8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwTerminateThread [0xA9A2C5CA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                          ZwVdmControl [0xA9A2B6BC]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwWriteVirtualMemory [0xAA71D954]

INT 0x52        ?                                                                                                                              9E490A58
INT 0x62        ?                                                                                                                              9E490558
INT 0x71        ?                                                                                                                              9F73CA58
INT 0x72        ?                                                                                                                              9E489558
INT 0x82        ?                                                                                                                              9E4897D8
INT 0x91        ?                                                                                                                              9F73CCD8
INT 0x92        ?                                                                                                                              9E489A58
INT 0xA2        ?                                                                                                                              9E4907D8
INT 0xB0        ?                                                                                                                              9F73C7D8
INT 0xB1        ?                                                                                                                              9E489CD8
INT 0xB3        ?                                                                                                                              9E490058

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwCreateProcessEx [0xAA735744]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                                                      E2E773C9 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                        E2EB0D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntkrnlpa.exe!KeRemoveQueueEx + 10CB                                                                                            E2EB7D80 4 Bytes  [36, B5, A2, A9]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 10F3                                                                                            E2EB7DA8 4 Bytes  [BA, D7, 71, AA]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 1153                                                                                            E2EB7E08 4 Bytes  [52, BF, A2, A9]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 11A7                                                                                            E2EB7E5C 8 Bytes  [7A, 6D, A3, A9, C6, 6D, A3, ...]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 11B3                                                                                            E2EB7E68 4 Bytes  [48, 6F, A3, A9]
.text          ...                                                                                                                           
PAGE            ntkrnlpa.exe!ObMakeTemporaryObject                                                                                            E3044C64 5 Bytes  JMP AA73261C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntkrnlpa.exe!ObInsertObject + 27                                                                                              E305D290 5 Bytes  JMP AA734116 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 108                                                                                    E30723D7 4 Bytes  CALL A9A2D959 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE            ntkrnlpa.exe!ZwAlpcSendWaitReceivePort + 122                                                                                  E308C1E0 4 Bytes  CALL A9A2D96F \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                                                E311611A 7 Bytes  JMP AA735748 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                      section is writeable [0xAAE31000, 0x3A3E05, 0xE8000020]
.text          kernel32.dll!GetBinaryTypeW + 70                                                                                              762169F4 1 Byte  [62]

---- User code sections - GMER 1.0.15 ----

.text          C:\Windows\Explorer.EXE[352] ntdll.dll!LdrUnloadDll                                                                            778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\Explorer.EXE[352] ntdll.dll!LdrLoadDll                                                                              778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\Explorer.EXE[352] kernel32.dll!GetBinaryTypeW + 70                                                                  762169F4 1 Byte  [62]
.text          C:\Windows\Explorer.EXE[352] USER32.dll!UnhookWindowsHookEx                                                                    75DDADF9 5 Bytes  JMP 00110A08
.text          C:\Windows\Explorer.EXE[352] USER32.dll!UnhookWinEvent                                                                        75DDB750 5 Bytes  JMP 001103FC
.text          C:\Windows\Explorer.EXE[352] USER32.dll!SetWindowsHookExW                                                                      75DDE30C 5 Bytes  JMP 00110804
.text          C:\Windows\Explorer.EXE[352] USER32.dll!SetWinEventHook                                                                        75DE24DC 5 Bytes  JMP 001101F8
.text          C:\Windows\Explorer.EXE[352] USER32.dll!SetWindowsHookExA                                                                      75E06D0C 5 Bytes  JMP 00110600
.text          C:\Windows\system32\csrss.exe[428] kernel32.dll!GetBinaryTypeW + 70                                                            762169F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[444] ntdll.dll!LdrUnloadDll                                                                    778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[444] ntdll.dll!LdrLoadDll                                                                      778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[444] kernel32.dll!GetBinaryTypeW + 70                                                          762169F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[444] USER32.dll!UnhookWindowsHookEx                                                            75DDADF9 5 Bytes  JMP 00190A08
.text          C:\Windows\system32\svchost.exe[444] USER32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 001903FC
.text          C:\Windows\system32\svchost.exe[444] USER32.dll!SetWindowsHookExW                                                              75DDE30C 5 Bytes  JMP 00190804
.text          C:\Windows\system32\svchost.exe[444] USER32.dll!SetWinEventHook                                                                75DE24DC 5 Bytes  JMP 001901F8
.text          C:\Windows\system32\svchost.exe[444] USER32.dll!SetWindowsHookExA                                                              75E06D0C 5 Bytes  JMP 00190600
.text          C:\Windows\system32\wininit.exe[508] kernel32.dll!GetBinaryTypeW + 70                                                          762169F4 1 Byte  [62]
.text          C:\Windows\system32\csrss.exe[516] kernel32.dll!GetBinaryTypeW + 70                                                            762169F4 1 Byte  [62]
.text          C:\Windows\system32\services.exe[556] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\lsass.exe[580] kernel32.dll!GetBinaryTypeW + 70                                                            762169F4 1 Byte  [62]
.text          C:\Windows\system32\lsm.exe[588] kernel32.dll!GetBinaryTypeW + 70                                                              762169F4 1 Byte  [62]
.text          ...                                                                                                                           
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] ntdll.dll!LdrUnloadDll                                            778BC86E 5 Bytes  JMP 000703FC
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] ntdll.dll!LdrLoadDll                                              778C223E 5 Bytes  JMP 000701F8
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] kernel32.dll!GetBinaryTypeW + 70                                  762169F4 1 Byte  [62]
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!UnhookWindowsHookEx                                    75DDADF9 5 Bytes  JMP 00110A08
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!UnhookWinEvent                                        75DDB750 5 Bytes  JMP 001103FC
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWindowsHookExW                                      75DDE30C 5 Bytes  JMP 00110804
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWinEventHook                                        75DE24DC 5 Bytes  JMP 001101F8
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWindowsHookExA                                      75E06D0C 5 Bytes  JMP 00110600
.text          C:\Windows\system32\svchost.exe[1332] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] kernel32.dll!SetUnhandledExceptionFilter                            761FF4FB 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }
.text          C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] kernel32.dll!GetBinaryTypeW + 70                                    762169F4 1 Byte  [62]
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] ntdll.dll!LdrUnloadDll            778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] ntdll.dll!LdrLoadDll              778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] kernel32.dll!GetBinaryTypeW + 70  762169F4 1 Byte  [62]
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!UnhookWindowsHookEx    75DDADF9 5 Bytes  JMP 00110A08
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!UnhookWinEvent        75DDB750 5 Bytes  JMP 001103FC
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWindowsHookExW      75DDE30C 5 Bytes  JMP 00110804
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWinEventHook        75DE24DC 5 Bytes  JMP 001101F8
.text          C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWindowsHookExA      75E06D0C 5 Bytes  JMP 00110600
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] ntdll.dll!LdrUnloadDll                                778BC86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] ntdll.dll!LdrLoadDll                                  778C223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] kernel32.dll!GetBinaryTypeW + 70                      762169F4 1 Byte  [62]
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!UnhookWindowsHookEx                        75DDADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!UnhookWinEvent                              75DDB750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWindowsHookExW                          75DDE30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWinEventHook                            75DE24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWindowsHookExA                          75E06D0C 5 Bytes  JMP 001F0600
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] ntdll.dll!LdrUnloadDll                                                        778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] ntdll.dll!LdrLoadDll                                                          778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] kernel32.dll!GetBinaryTypeW + 70                                              762169F4 1 Byte  [62]
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!UnhookWindowsHookEx                                                75DDADF9 5 Bytes  JMP 00100A08
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!UnhookWinEvent                                                    75DDB750 5 Bytes  JMP 001003FC
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWindowsHookExW                                                  75DDE30C 5 Bytes  JMP 00100804
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWinEventHook                                                    75DE24DC 5 Bytes  JMP 001001F8
.text          C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWindowsHookExA                                                  75E06D0C 5 Bytes  JMP 00100600
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] ntdll.dll!LdrUnloadDll                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] ntdll.dll!LdrLoadDll                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] kernel32.dll!GetBinaryTypeW + 70                        762169F4 1 Byte  [62]
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!UnhookWindowsHookEx                          75DDADF9 5 Bytes  JMP 00200A08
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!UnhookWinEvent                                75DDB750 5 Bytes  JMP 002003FC
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWindowsHookExW                            75DDE30C 5 Bytes  JMP 00200804
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWinEventHook                              75DE24DC 5 Bytes  JMP 002001F8
.text          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWindowsHookExA                            75E06D0C 5 Bytes  JMP 00200600
.text          C:\Windows\system32\svchost.exe[1932] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[1932] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[1932] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[1932] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00270A08
.text          C:\Windows\system32\svchost.exe[1932] USER32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 002703FC
.text          C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00270804
.text          C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 002701F8
.text          C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00270600
.text          C:\Windows\System32\spoolsv.exe[2008] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000A03FC
.text          C:\Windows\System32\spoolsv.exe[2008] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000A01F8
.text          C:\Windows\System32\spoolsv.exe[2008] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\System32\spoolsv.exe[2008] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00150A08
.text          C:\Windows\System32\spoolsv.exe[2008] USER32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 001503FC
.text          C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00150804
.text          C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 001501F8
.text          C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00150600
.text          C:\Windows\system32\taskhost.exe[2016] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000503FC
.text          C:\Windows\system32\taskhost.exe[2016] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000501F8
.text          C:\Windows\system32\taskhost.exe[2016] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\taskhost.exe[2016] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00070A08
.text          C:\Windows\system32\taskhost.exe[2016] USER32.dll!UnhookWinEvent                                                              75DDB750 5 Bytes  JMP 000703FC
.text          C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00070804
.text          C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 000701F8
.text          C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00070600
.text          C:\Windows\system32\Dwm.exe[2024] ntdll.dll!LdrUnloadDll                                                                      778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\Dwm.exe[2024] ntdll.dll!LdrLoadDll                                                                        778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\Dwm.exe[2024] kernel32.dll!GetBinaryTypeW + 70                                                            762169F4 1 Byte  [62]
.text          C:\Windows\system32\Dwm.exe[2024] USER32.dll!UnhookWindowsHookEx                                                              75DDADF9 5 Bytes  JMP 00080A08
.text          C:\Windows\system32\Dwm.exe[2024] USER32.dll!UnhookWinEvent                                                                    75DDB750 5 Bytes  JMP 000803FC
.text          C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWindowsHookExW                                                                75DDE30C 5 Bytes  JMP 00080804
.text          C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWinEventHook                                                                  75DE24DC 5 Bytes  JMP 000801F8
.text          C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWindowsHookExA                                                                75E06D0C 5 Bytes  JMP 00080600
.text          C:\Windows\system32\FsUsbExService.Exe[2136] ntdll.dll!LdrUnloadDll                                                            778BC86E 5 Bytes  JMP 001503FC
.text          C:\Windows\system32\FsUsbExService.Exe[2136] ntdll.dll!LdrLoadDll                                                              778C223E 5 Bytes  JMP 001501F8
.text          C:\Windows\system32\FsUsbExService.Exe[2136] kernel32.dll!GetBinaryTypeW + 70                                                  762169F4 1 Byte  [62]
.text          C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!UnhookWindowsHookEx                                                    75DDADF9 5 Bytes  JMP 001E0A08
.text          C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!UnhookWinEvent                                                        75DDB750 5 Bytes  JMP 001E03FC
.text          C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWindowsHookExW                                                      75DDE30C 5 Bytes  JMP 001E0804
.text          C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWinEventHook                                                        75DE24DC 5 Bytes  JMP 001E01F8
.text          C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWindowsHookExA                                                      75E06D0C 5 Bytes  JMP 001E0600
.text          C:\Windows\system32\svchost.exe[2160] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[2160] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[2160] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[2188] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\System32\svchost.exe[2188] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\System32\svchost.exe[2188] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[2284] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\System32\svchost.exe[2284] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\System32\svchost.exe[2284] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\PnkBstrA.exe[2312] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 001503FC
.text          C:\Windows\system32\PnkBstrA.exe[2312] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 001501F8
.text          C:\Windows\system32\PnkBstrA.exe[2312] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00170A08
.text          C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!UnhookWinEvent                                                              75DDB750 5 Bytes  JMP 001703FC
.text          C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00170804
.text          C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 001701F8
.text          C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00170600
.text          C:\Windows\system32\svchost.exe[2340] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[2340] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[2340] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[2640] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[2640] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[2640] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[2640] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 002B0A08
.text          C:\Windows\system32\svchost.exe[2640] USER32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 002B03FC
.text          C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 002B0804
.text          C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 002B01F8
.text          C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 002B0600
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] ntdll.dll!LdrUnloadDll                                      778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] ntdll.dll!LdrLoadDll                                        778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] kernel32.dll!GetBinaryTypeW + 70                            762169F4 1 Byte  [62]
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!UnhookWindowsHookEx                              75DDADF9 5 Bytes  JMP 00AB0A08
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!UnhookWinEvent                                    75DDB750 5 Bytes  JMP 00AB03FC
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWindowsHookExW                                75DDE30C 5 Bytes  JMP 00AB0804
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWinEventHook                                  75DE24DC 5 Bytes  JMP 00AB01F8
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWindowsHookExA                                75E06D0C 5 Bytes  JMP 00AB0600
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] ntdll.dll!LdrUnloadDll                                                778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] ntdll.dll!LdrLoadDll                                                  778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] kernel32.dll!GetBinaryTypeW + 70                                      762169F4 1 Byte  [62]
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!UnhookWindowsHookEx                                        75DDADF9 5 Bytes  JMP 00100A08
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!UnhookWinEvent                                            75DDB750 5 Bytes  JMP 001003FC
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWindowsHookExW                                          75DDE30C 5 Bytes  JMP 00100804
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWinEventHook                                            75DE24DC 5 Bytes  JMP 001001F8
.text          C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWindowsHookExA                                          75E06D0C 5 Bytes  JMP 00100600
.text          C:\Program Files\Alwil Software\Avast5\AvastUI.exe[3140] kernel32.dll!GetBinaryTypeW + 70                                      762169F4 1 Byte  [62]
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] ntdll.dll!LdrUnloadDll                                              778BC86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] ntdll.dll!LdrLoadDll                                                778C223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] kernel32.dll!GetBinaryTypeW + 70                                    762169F4 1 Byte  [62]
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!UnhookWindowsHookEx                                      75DDADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!UnhookWinEvent                                          75DDB750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWindowsHookExW                                        75DDE30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWinEventHook                                          75DE24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWindowsHookExA                                        75E06D0C 5 Bytes  JMP 001F0600
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] ntdll.dll!LdrUnloadDll                                      778BC86E 5 Bytes  JMP 001503FC
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] ntdll.dll!LdrLoadDll                                        778C223E 5 Bytes  JMP 001501F8
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] kernel32.dll!GetBinaryTypeW + 70                            762169F4 1 Byte  [62]
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!UnhookWindowsHookEx                              75DDADF9 5 Bytes  JMP 00170A08
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!UnhookWinEvent                                    75DDB750 5 Bytes  JMP 001703FC
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWindowsHookExW                                75DDE30C 5 Bytes  JMP 00170804
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWinEventHook                                  75DE24DC 5 Bytes  JMP 001701F8
.text          C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWindowsHookExA                                75E06D0C 5 Bytes  JMP 00170600
.text          C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3368] KERNEL32.dll!GetBinaryTypeW + 70                          762169F4 1 Byte  [62]
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] ntdll.dll!LdrUnloadDll                                                          778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] ntdll.dll!LdrLoadDll                                                            778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] kernel32.dll!GetBinaryTypeW + 70                                                762169F4 1 Byte  [62]
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!UnhookWindowsHookEx                                                  75DDADF9 5 Bytes  JMP 00090A08
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!UnhookWinEvent                                                      75DDB750 5 Bytes  JMP 000903FC
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWindowsHookExW                                                    75DDE30C 5 Bytes  JMP 00090804
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWinEventHook                                                      75DE24DC 5 Bytes  JMP 000901F8
.text          C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWindowsHookExA                                                    75E06D0C 5 Bytes  JMP 00090600
.text          C:\Windows\system32\SearchIndexer.exe[3408] ntdll.dll!LdrUnloadDll                                                            778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\SearchIndexer.exe[3408] ntdll.dll!LdrLoadDll                                                              778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\SearchIndexer.exe[3408] kernel32.dll!GetBinaryTypeW + 70                                                  762169F4 1 Byte  [62]
.text          C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!UnhookWindowsHookEx                                                    75DDADF9 5 Bytes  JMP 00100A08
.text          C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!UnhookWinEvent                                                          75DDB750 5 Bytes  JMP 001003FC
.text          C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWindowsHookExW                                                      75DDE30C 5 Bytes  JMP 00100804
.text          C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWinEventHook                                                        75DE24DC 5 Bytes  JMP 001001F8
.text          C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWindowsHookExA                                                      75E06D0C 5 Bytes  JMP 00100600
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] ntdll.dll!LdrUnloadDll                                                            778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] ntdll.dll!LdrLoadDll                                                              778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] kernel32.dll!GetBinaryTypeW + 70                                                  762169F4 1 Byte  [62]
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!UnhookWindowsHookEx                                                    75DDADF9 5 Bytes  JMP 00110A08
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!UnhookWinEvent                                                          75DDB750 5 Bytes  JMP 001103FC
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWindowsHookExW                                                      75DDE30C 5 Bytes  JMP 00110804
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWinEventHook                                                        75DE24DC 5 Bytes  JMP 001101F8
.text          C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWindowsHookExA                                                      75E06D0C 5 Bytes  JMP 00110600
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] ntdll.dll!LdrUnloadDll                                        778BC86E 5 Bytes  JMP 001703FC
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] ntdll.dll!LdrLoadDll                                          778C223E 5 Bytes  JMP 001701F8
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] kernel32.dll!GetBinaryTypeW + 70                              762169F4 1 Byte  [62]
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!UnhookWindowsHookEx                                75DDADF9 5 Bytes  JMP 001A0A08
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!UnhookWinEvent                                    75DDB750 5 Bytes  JMP 001A03FC
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWindowsHookExW                                  75DDE30C 5 Bytes  JMP 001A0804
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWinEventHook                                    75DE24DC 5 Bytes  JMP 001A01F8
.text          C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWindowsHookExA                                  75E06D0C 5 Bytes  JMP 001A0600
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] ntdll.dll!LdrUnloadDll                                          778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] ntdll.dll!LdrLoadDll                                            778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] kernel32.dll!GetBinaryTypeW + 70                                762169F4 1 Byte  [62]
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!UnhookWindowsHookEx                                  75DDADF9 5 Bytes  JMP 00110A08
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!UnhookWinEvent                                        75DDB750 5 Bytes  JMP 001103FC
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWindowsHookExW                                    75DDE30C 5 Bytes  JMP 00110804
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWinEventHook                                      75DE24DC 5 Bytes  JMP 001101F8
.text          C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWindowsHookExA                                    75E06D0C 5 Bytes  JMP 00110600
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] ntdll.dll!LdrUnloadDll                                                      778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] ntdll.dll!LdrLoadDll                                                        778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] kernel32.dll!GetBinaryTypeW + 70                                            762169F4 1 Byte  [62]
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!UnhookWindowsHookEx                                              75DDADF9 5 Bytes  JMP 00120A08
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!UnhookWinEvent                                                  75DDB750 5 Bytes  JMP 001203FC
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWindowsHookExW                                                75DDE30C 5 Bytes  JMP 00120804
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWinEventHook                                                  75DE24DC 5 Bytes  JMP 001201F8
.text          C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWindowsHookExA                                                75E06D0C 5 Bytes  JMP 00120600
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] ntdll.dll!LdrUnloadDll                                                  778BC86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] ntdll.dll!LdrLoadDll                                                    778C223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] kernel32.dll!GetBinaryTypeW + 70                                        762169F4 1 Byte  [62]
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!UnhookWindowsHookEx                                          75DDADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!UnhookWinEvent                                                75DDB750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWindowsHookExW                                            75DDE30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWinEventHook                                              75DE24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWindowsHookExA                                            75E06D0C 5 Bytes  JMP 001F0600
.text          C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3548] ntdll.dll!DbgUiRemoteBreakin                          778FF17D 1 Byte  [C3]
.text          C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3548] KERNEL32.dll!GetBinaryTypeW + 70                      762169F4 1 Byte  [62]
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] ntdll.dll!LdrUnloadDll                                                        778BC86E 5 Bytes  JMP 000603FC
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] ntdll.dll!LdrLoadDll                                                          778C223E 5 Bytes  JMP 000601F8
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] kernel32.dll!GetBinaryTypeW + 70                                              762169F4 1 Byte  [62]
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!UnhookWindowsHookEx                                                75DDADF9 5 Bytes  JMP 00200A08
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!UnhookWinEvent                                                      75DDB750 5 Bytes  JMP 002003FC
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWindowsHookExW                                                  75DDE30C 5 Bytes  JMP 00200804
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWinEventHook                                                    75DE24DC 5 Bytes  JMP 002001F8
.text          C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWindowsHookExA                                                  75E06D0C 5 Bytes  JMP 00200600
.text          C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3772] KERNEL32.dll!GetBinaryTypeW + 70                          762169F4 1 Byte  [62]
.text          C:\Users\***\Desktop\mvfjqsz8.exe[3820] kernel32.dll!GetBinaryTypeW + 70                                                    762169F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[4168] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\System32\svchost.exe[4168] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\System32\svchost.exe[4168] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[4168] user32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00330A08
.text          C:\Windows\System32\svchost.exe[4168] user32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 003303FC
.text          C:\Windows\System32\svchost.exe[4168] user32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00330804
.text          C:\Windows\System32\svchost.exe[4168] user32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 003301F8
.text          C:\Windows\System32\svchost.exe[4168] user32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00330600
.text          C:\Windows\System32\svchost.exe[5424] ntdll.dll!LdrUnloadDll                                                                  778BC86E 5 Bytes  JMP 000603FC
.text          C:\Windows\System32\svchost.exe[5424] ntdll.dll!LdrLoadDll                                                                    778C223E 5 Bytes  JMP 000601F8
.text          C:\Windows\System32\svchost.exe[5424] kernel32.dll!GetBinaryTypeW + 70                                                        762169F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[5424] USER32.dll!UnhookWindowsHookEx                                                          75DDADF9 5 Bytes  JMP 00190A08
.text          C:\Windows\System32\svchost.exe[5424] USER32.dll!UnhookWinEvent                                                                75DDB750 5 Bytes  JMP 001903FC
.text          C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWindowsHookExW                                                            75DDE30C 5 Bytes  JMP 00190804
.text          C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWinEventHook                                                              75DE24DC 5 Bytes  JMP 001901F8
.text          C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWindowsHookExA                                                            75E06D0C 5 Bytes  JMP 00190600
.text          C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe[5960] KERNEL32.dll!GetBinaryTypeW + 70                  762169F4 1 Byte  [62]

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                                [745824CB] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                            [7456562E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                          [745656EC] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                                  [74582546] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                                        [745785AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                                          [74574D5E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                                        [74575105] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                                        [745751DA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]                              [74576707] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                                        [74578301] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                                    [74578850] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                                  [745790B1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                                        [7457E254] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                            [74574C90] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]      [7258F6D0] C:\Program Files\Alwil Software\Avast5\aswCmnBS.dll (Common functions/AVAST Software)
IAT            C:\Program Files\Alwil Software\Avast5\AvastUI.exe[3140] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]        [7258F6D0] C:\Program Files\Alwil Software\Avast5\aswCmnBS.dll (Common functions/AVAST Software)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                        aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                        aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device          \Driver\ACPI_HAL \Device\00000049                                                                                              halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                        rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                        rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                        rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                                                        aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                      fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
heute habe ich noch einen kompletten scan mit anti-malware gemacht. hier das ergebnis

was muss ich nun noch machen bzw. log. dateien ersetzten wie ich es hier lese nur auf meinen fall bezogen???

Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
*** :: ***-PC [Administrator]

Schutz: Aktiviert

01.08.2012 08:23:58
mbam-log-2012-08-01 (08-23-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 355002
Laufzeit: 52 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

t'john 01.08.2012 12:16
:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
DRV - (VGPU) -- System32\drivers\rdvgkmd.sys File not found
DRV - (tsusbhub) -- system32\drivers\tsusbhub.sys File not found
DRV - (Synth3dVsc) -- System32\drivers\synth3dvsc.sys File not found
DRV - (dgderdrv) -- System32\drivers\dgderdrv.sys File not found
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.t-online.de"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.3: C:\Program Files\Battlelog Web Plugins\Sonar\0.70.3\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]



:Files
C:\Windows\MusiccityDownload.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

woodeye 01.08.2012 14:17
Fixen mit otl durchlaufen - mit neustart

u.a. ist mir eben aufgefallen, dass ich zwar zum tastmanager komme, dann aber die meldung kommt "tastmanager wurde durch den administrator deaktiviert"
das habe ich natürlich nicht getan. hängt das auch mit dem trojaner zusammen?

wie geht es nun weiter? vielen dank vorab


Code:
All processes killed
========== OTL ==========
Service VGPU stopped successfully!
Service VGPU deleted successfully!
File  System32\drivers\rdvgkmd.sys File not found not found.
Service tsusbhub stopped successfully!
Service tsusbhub deleted successfully!
File  system32\drivers\tsusbhub.sys File not found not found.
Service Synth3dVsc stopped successfully!
Service Synth3dVsc deleted successfully!
File  System32\drivers\synth3dvsc.sys File not found not found.
Service dgderdrv stopped successfully!
Service dgderdrv deleted successfully!
File  System32\drivers\dgderdrv.sys File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "www.t-online.de" removed from browser.startup.homepage
Prefs.js: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Prefs.js: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.3\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
========== FILES ==========
C:\Windows\MusiccityDownload.exe moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\***\Desktop\cmd.bat deleted successfully.
C:\Users\***\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 46310641 bytes
->Temporary Internet Files folder emptied: 749385 bytes
->Java cache emptied: 403932 bytes
->FireFox cache emptied: 54928744 bytes
->Flash cache emptied: 487 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 68973416 bytes
RecycleBin emptied: 1324534 bytes
 
Total Files Cleaned = 165,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: ***
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.55.0 log created on 08012012_151102

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2009.07.14 03:14:23 | 000,093,696 | ---- | M] (Microsoft Corporation) C:\Windows\System32\mctadmin.exe : MD5=BBA1A5B86134F496B926DDAF247DB871

Registry entries deleted on Reboot...

t'john 01.08.2012 14:41
Sehr gut! :daumenhoc


1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

woodeye 01.08.2012 17:09
hier die beiden dateien

Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
*** :: ***-PC [Administrator]

Schutz: Aktiviert

01.08.2012 16:39:57
mbam-log-2012-08-01 (16-39-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 354350
Laufzeit: 50 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:
# AdwCleaner v1.703 - Logfile created 08/01/2012 at 18:07:15
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : *** - ***-PC
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKCU\Software\Zugo
Key Found : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Key Found : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1237 octets] - [01/08/2012 18:07:15]

########## EOF - C:\AdwCleaner[R1].txt - [1365 octets] ##########

t'john 02.08.2012 04:50
Sehr gut! :daumenhoc


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

woodeye 02.08.2012 15:12
hier die beiden dateien
ich habe das programm von emsisoft noch offen, soll ich die dateien in quarantäne legen??? lt. anleitung ja, aber lt. deiner aussagte nichts löschen!


Code:
# AdwCleaner v1.703 - Logfile created 08/02/2012 at 11:02:39
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : *** - ***-PC
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Deleted : HKCU\Software\Zugo
Key Deleted : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1366 octets] - [01/08/2012 18:07:15]
AdwCleaner[S1].txt - [1311 octets] - [02/08/2012 11:02:39]

########## EOF - C:\AdwCleaner[S1].txt - [1439 octets] ##########

Code:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.08.2012 14:53:18

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:        02.08.2012 14:53:31

D:\Programme\Windows 7 Loader.exe.vir        gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\7Loader 1.6 by Hazar´s.exe        gefunden: Trojan.Win32.Dropper!E1
D:\Programme\neuinstall\Windows 7 Loader v1.7.7r.zip.vir -> Windows 7 Loader\Windows 7 Loader.exe        gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\Helium Music Manager (2009) - build 6910 multilang\Keygen.exe.vir        gefunden: Virus.Win32.Obfuscator!E2
D:\Programme\neuinstall\Windows 7 Loader\Windows 7 Loader.exe.vir        gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\neuinstall\Windows 7 Loader 1.6.9 by Daz (x86 & x64)\Windows 7 Loader.exe        gefunden: Trojan-Dropper.Win32.Mudrop.jtt!E1
D:\***\Downloads\Intertops.exe        gefunden: possible-Threat.Casino!E2

Gescannt        614616
Gefunden        7

Scan Ende:        02.08.2012 15:37:45
Scan Zeit:        0:44:14

t'john 02.08.2012 15:17
Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

woodeye 02.08.2012 19:23
emsi deinstall ok

eset scan durchlaufen, dann auf finish, aber ich habe keine log.txt datei???
das programm liegt richtig unter programme, eset, dort habe ich den unterordner esetonlinescanner mit 3 dateien (.ocx / app / und uninstaller) plus den unterordner quarantine mit 3 dateien

allerdings nirgens eine .txt - und nun?

gefunden wurden allerdings (glaube) 3 bedrohungen

ich lasse es gerade nochmal durchlaufen, vlt. hab ich was falsch gemacht - jetzt wo er läuft hab ich 1x explorer geschaut und sofort (zeitgleich) eine log.txt gesehen -

hier nun der bericht (bin mir aber sicher, dass ich vorher 3 bedrohungen dort gesehen hatte

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=295eeba10e357d4d9a9471924e3a9780
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-02 09:54:05
# local_time=2012-08-02 11:54:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 45960729 45960729 0 0
# compatibility_mode=5893 16776574 100 94 25667 95566780 0 0
# compatibility_mode=8192 67108863 100 0 11365 11365 0 0
# scanned=333631
# found=0
# cleaned=0
# scan_time=8856

t'john 03.08.2012 13:35
Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

woodeye 03.08.2012 13:59
hi john

ich lese gerade den untersten satz (combofix kann den rechner lahmlegen)
also ich gehe davon aus, dass es bei mir also erforderlich ist.

ich komm schon gar nicht mehr hinterher, was ich nun alles gemacht habe. du kannst mir gerne auch eine pn senden und mir mal mitteilen, warum dies alles sein muss bzw. ob es nur am bundespolizei trojaner lag???

also ich führe nun o.a. sachen durch

alles durchgelaufen

Code:
ComboFix 12-07-31.06 - *** 03.08.2012  18:37:50.1.4 - x86
Microsoft Windows 7 Ultimate  6.1.7601.1.1252.49.1031.18.3325.2268 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Local\Temp\99cab429-f99d-4f69-9d04-113ad532bd0f\CliSecureRT.dll
c:\users\***\AppData\Roaming\Roaming
c:\users\***\AppData\Roaming\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#schnueffelbande2.com\settings.sol
c:\users\***\AppData\Roaming\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol
c:\windows\7Loader.TAG
c:\windows\msvcr71.dll
c:\windows\system32\muzapp.exe
D:\install.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-07-03 bis 2012-08-03  ))))))))))))))))))))))))))))))
.
.
2012-08-03 16:43 . 2012-08-03 16:43        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-08-03 16:25 . 2012-06-26 07:02        30568        ----a-w-        c:\windows\MusiccityDownload.exe
2012-08-02 09:06 . 2012-08-02 16:13        --------        d-----w-        c:\program files\Emsisoft Anti-Malware
2012-08-01 13:11 . 2012-08-01 13:11        --------        d-----w-        C:\_OTL
2012-07-31 17:59 . 2012-07-31 17:59        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes
2012-07-31 17:59 . 2012-07-31 17:59        --------        d-----w-        c:\programdata\Malwarebytes
2012-07-31 17:59 . 2012-07-31 17:59        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-07-31 17:59 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-07-31 13:15 . 2012-07-31 13:15        --------        d-----w-        C:\found.001
2012-07-31 13:08 . 2012-07-03 16:21        44784        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys
2012-07-31 13:05 . 2012-06-29 08:44        6891424        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{0E2E23EF-0A60-4EA9-B9B1-3F448F976BC9}\mpengine.dll
2012-07-31 10:45 . 2012-07-31 10:45        --------        d-----w-        C:\found.000
2012-07-12 20:41 . 2012-06-12 02:40        2345984        ----a-w-        c:\windows\system32\win32k.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 16:21 . 2011-02-17 21:34        54232        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2012-07-03 16:21 . 2011-06-10 11:27        721000        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2012-07-03 16:21 . 2011-02-17 21:34        353688        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2012-07-03 16:21 . 2011-02-17 21:34        21256        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2012-07-03 16:21 . 2011-02-17 21:34        57656        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2012-07-03 16:21 . 2011-02-17 21:34        41224        ----a-w-        c:\windows\avastSS.scr
2012-07-03 16:21 . 2011-02-17 21:34        227648        ----a-w-        c:\windows\system32\aswBoot.exe
2012-06-26 07:02 . 2011-01-04 15:10        330240        ----a-w-        c:\windows\MASetupCaller.dll
2012-06-26 07:02 . 2011-01-05 21:22        24576        ----a-w-        c:\windows\system32\MASetupCleaner.exe
2012-06-26 07:02 . 2011-01-04 15:10        45320        ----a-w-        c:\windows\system32\MAMACExtract.dll
2012-06-02 22:19 . 2012-06-28 16:32        53784        ----a-w-        c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-28 16:32        45080        ----a-w-        c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-28 16:32        35864        ----a-w-        c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-28 16:32        577048        ----a-w-        c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-28 16:32        1933848        ----a-w-        c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-28 16:32        2422272        ----a-w-        c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-28 16:32        88576        ----a-w-        c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-28 16:32        171904        ----a-w-        c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-28 16:32        33792        ----a-w-        c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2011-02-17 21:45        237072        ------w-        c:\windows\system32\MpSigStub.exe
2012-05-15 03:03 . 2012-06-12 20:48        981504        ----a-w-        c:\windows\system32\wininet.dll
2012-07-24 18:18 . 2011-04-25 21:05        136672        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21        121528        ----a-w-        c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2012-07-16 3524536]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-07-16 21432]
"KiesPreload"="c:\program files\Samsung\Kies\Kies.exe" [2012-07-16 975800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2009-11-18 54576]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 343168]
"Spawn Gaming Mouse"="c:\program files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe" [2010-12-15 135168]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [x]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [x]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
HPService        REG_MULTI_SZ          HPSLPSVC
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mirostart.com/?cfg=2-365-0-3dKm0
IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\
FF - prefs.js: browser.search.selectedEngine -
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-26_VIA_driver2 - c:\program files\Samsung\USB Drivers\26_VIA_driver2\Uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\atieclxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\conhost.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-03  18:49:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-03 16:49
.
Vor Suchlauf: 9 Verzeichnis(se), 136.416.980.992 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 136.404.942.848 Bytes frei
.
- - End Of File - - 1E84398BFFE6940AEFFD4D5833FCFE35
hier die zweite datei

Code:
32 Bit HP CIO Components Installer
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.3) - Deutsch
AMD APP SDK Runtime
AMD Catalyst Install Manager
AMD Drag and Drop Transcoding
AMD Fuel
AMD Media Foundation Decoders
AMD VISION Engine Control Center
Apple Application Support
Apple Mobile Device Support
Apple Software Update
ASUS USB2.0 Webcam
avast! Free Antivirus
Battlefield 3™
Bonjour
BufferChm
C4700
Catalyst Control Center - Branding
Catalyst Control Center Graphics Previews Common
Catalyst Control Center InstallProxy
ccc-utility
CCC Help English
CCleaner
CDBurnerXP
CPUID CPU-Z 1.58
Destinations
DeviceDiscovery
DH Driver Cleaner Professional Edition
DHTML Editing Component
DVDFab 8.0.3.2 (30/10/2010)
ESN Sonar
EVEREST Ultimate Edition v5.30
Free Audio CD Burner version 1.4.7
Free Audio CD to MP3 Converter version 1.3.11.718
Free DVD Video Converter version 1.5.15.712
Free YouTube to MP3 Converter version 3.10.7.804
GIMP 2.6.11
GPBaseService2
Hotfix for Microsoft .NET Framework 4 Client Profile (KB2461678)
HP Customer Participation Program 14.0
HP Imaging Device Functions 14.0
HP Photosmart C4700 All-in-One Driver Software 14.0 Rel. 6
HP Smart Web Printing 4.60
HP Solution Center 14.0
HP Update
HPPhotoGadget
HPProductAssistant
HPSSupply
InterVideo DeviceService
iTunes
Java Auto Updater
Java(TM) 6 Update 24
Java(TM) 7 Update 4
JavaFX 2.1.0
LifeFrame2
Malwarebytes Anti-Malware Version 1.62.0.1300
MarketResearch
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
Miro
Mozilla Firefox 14.0.1 (x86 de)
Mozilla Maintenance Service
Mozilla Thunderbird 14.0 (x86 de)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Network
OpenOffice.org 3.3
Origin
Paint.NET v3.5.7
PS_AIO_06_C4700_SW_Min
PunkBuster Services
QuickTime
QuickTransfer
Ravensburger tiptoi
Samsung Kies
SAMSUNG USB Driver for Mobile Phones
Scan
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Shop for HP Supplies
Skype Toolbars
Skype™ 5.1
SmartSound Quicktracks Plugin
SmartWebPrinting
SolutionCenter
Spawn Gaming Mouse
SpeedSim
Spider Player 2.5.3
Status
TeamSpeak 3 Client
Toolbox
TOPP Vorlagen-Druckstudio (5556)
TrayApp
Turbo Lister 2
Ulead VideoStudio 11
UltraISO Premium V9.51
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
VideoStudio
VLC media player 1.1.7
WebReg
Windows Media Encoder 9 Series
WinRAR

t'john 04.08.2012 18:54
Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

woodeye 04.08.2012 21:41
so java nun aktuell + eine ältere deinstalliert

dateien gelöscht aber nun folgendes problem.
du hast geschrieben ich soll alle 3 haken setzten > hab ich gemacht, dann neustart.

danach habe ich die java update anleitung angeschaut und alles so verändert.
da heisst es

- Benachrichtigung ausgeben => Vor der Installation
- Haken machen bei Automatisch nach Aktualisierung suchen
- Button Erweitert => auf Wöchentlich einstellen => Ok

und unter button löschen soll man ja
Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK

aber welche anwendungen???
- gecachte oder intallierte????

außerdem wenn ich alles umstelle und dann java schließe, neu öffe sind folgende einstellungen wieder auf standart

- vor der installation
- wöchentlich

es steht dann immer wieder auf
- vor dem download und auf
- monatlich

eigentlich habe ich alles richtig gemacht!

was bleibt, wenn ich java öffne ist
- haken bleibt weg bei
und wenn ich java öffne bei temporäre dateien auf rechner behalten
aber wenn ich dann wieder auf dateien löschen klicke erscheint nur noch ein haken bei
- trace und logdateien


wie ich wohl annehme, ist nun mein system bereinigt, dennoch folgende fragen

- was mache ich mit den gesamten installierten programmen um das system zu bereinigen
- was mache ich mit dem trojaner in quarantäne
usw. usw.


reicht zb. avast oder soll ich etwas von den maleware programmen auf dem rechner belassen? anti-malware

t'john 05.08.2012 01:17
Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen

=> dort reinschreiben

ComboFix /Uninstall => Enter drücken

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:35 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131