Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gema-Trojaner OTLPE bleibt beim Scan bei "Getting Folder structure" stehen (https://www.trojaner-board.de/113082-gema-trojaner-otlpe-bleibt-beim-scan-getting-folder-structure-stehen.html)

Bernard 03.04.2012 21:23
Gema-Trojaner OTLPE bleibt beim Scan bei "Getting Folder structure" stehen
 
Hallo :)

hab mir auch den Gema Trojaner eingefangen. Hab die CD auf ein PC der funktioniert erstellt und den infizierten PC von dort aus gestartet.
Habe den Scan auch durchgefuert mit dem vom Support gepostetem Log aber OTLPE bleibt bei Getting Folder strukture stehen.




Oh und der abgesicherte Modus ist auch befallen.
Hab auch keine Internet Verbindung auf meinen befallenen PC.
Bitte helft mir :)


Betriebssystem : Win7 32Bit
Danke im Vorraus

markusg 04.04.2012 12:58
hi, hast du otl mit einem script ausgeführt? dann versuchs erst mal ohne.

Bernard 04.04.2012 13:43
Hi,
danke fuer die schnelle Antwort.
Ja ich hab es mit ein Scan versucht. Jetzt habe ich es ohne gemacht und es hat geklappt, rausgekommen ist dies:OTL Logfile:
Code:
OTL logfile created on: 4/4/2012 8:21:24 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 265.72 Gb Total Space | 213.51 Gb Free Space | 80.35% Space Free | Partition Type: NTFS
Drive D: | 189.84 Gb Total Space | 117.26 Gb Free Space | 61.77% Space Free | Partition Type: NTFS
Drive E: | 124.72 Mb Total Space | 124.45 Mb Free Space | 99.78% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/01/03 09:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011/12/01 11:04:46 | 000,419,624 | ---- | M] (Valve Corporation) [On_Demand] -- C:\Program Files\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2011/10/11 08:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/10/11 08:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/07/22 13:00:58 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2010/03/18 05:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [On_Demand] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2009/08/17 20:36:08 | 000,176,128 | ---- | M] (AMD) [Auto] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/03/01 17:21:32 | 000,567,848 | ---- | M] (Broadcom Corporation.) [Auto] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2009/01/16 15:59:08 | 000,083,240 | ---- | M] (Sony Corporation) [On_Demand] -- C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe -- (VcmXmlIfHelper)
SRV - [2009/01/05 22:04:54 | 000,109,088 | ---- | M] (Realtek Semiconductor) [Auto] -- C:\Program Files\Realtek\Audio\HDA\RtkAudioService.exe -- (RtkAudioService)
SRV - [2008/09/18 04:59:10 | 000,104,960 | ---- | M] (ArcSoft, Inc.) [Auto] -- C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe -- (uCamMonitor)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012/02/15 18:05:49 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/10/11 09:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/10/11 09:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/05/10 02:06:14 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\netaapl.sys -- (Netaapl)
DRV - [2010/11/20 06:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 05:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/06/17 09:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/10/21 18:45:42 | 000,159,776 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\RtHDMIV.sys -- (RTHDMIAzAudService)
DRV - [2009/08/17 21:48:06 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2009/07/13 19:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009/07/13 18:02:53 | 000,657,408 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2009/07/13 18:02:53 | 000,311,296 | ---- | M] (Marvell) [Kernel | On_Demand] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2009/07/13 18:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\netw5v32.sys -- (netw5v32) Intel(R)
DRV - [2009/04/13 16:16:29 | 000,173,616 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2008/11/24 17:41:52 | 000,010,216 | ---- | M] (Sony Corporation) [Kernel | System] -- C:\Windows\System32\drivers\DMICall.sys -- (DMICall)
DRV - [2008/11/18 20:08:46 | 000,009,344 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\SFEP.sys -- (SFEP)
DRV - [2008/10/22 20:02:23 | 000,046,592 | ---- | M] (REDC) [Kernel | Auto] -- C:\Windows\System32\drivers\risdptsk.sys -- (risdptsk)
DRV - [2008/10/22 20:02:02 | 000,068,608 | ---- | M] (REDC) [Kernel | Auto] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2008/06/06 20:02:55 | 000,131,000 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\WimFltr.sys -- (WimFltr)
DRV - [2008/04/24 08:06:40 | 000,017,920 | ---- | M] (ArcSoft, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ArcSoftKsUFilter.sys -- (ArcSoftKsUFilter)
DRV - [2008/01/24 22:14:25 | 000,008,192 | ---- | M] (Conexant Systems, Inc.) [Kernel | Auto] -- C:\Windows\System32\drivers\XAudio.sys -- (XAudio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Bernard_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle
IE - HKU\Bernard_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Bernard_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Bernard_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Bernard_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.1
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: 
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE:  File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.669: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.669: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.669: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.669: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.669: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: 
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\Bernard\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011/06/21 18:39:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/10/23 08:33:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/01/03 20:39:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012/01/12 02:40:57 | 000,000,000 | ---D | M]
 
[2010/04/26 15:29:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernard\AppData\Roaming\Mozilla\Extensions
[2012/03/26 15:11:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\gro7i1ul.default\extensions
[2010/05/03 14:26:08 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\gro7i1ul.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/08/04 11:56:07 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\gro7i1ul.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012/03/26 15:11:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\gro7i1ul.default\extensions\staged
[2011/10/26 01:33:30 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010/04/28 16:34:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/08/03 05:13:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/10/18 19:30:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010/12/23 13:30:22 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/04/08 10:01:22 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/06/23 08:34:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/10/26 01:33:30 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
File not found (No name found) --
[2011/10/23 08:33:19 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMDATA\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
() (No name found) -- C:\USERS\BERNARD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GRO7I1UL.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011/07/04 15:52:00 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011/10/02 23:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011/05/20 12:45:28 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/05/20 12:45:28 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011/05/20 12:45:28 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/05/20 12:45:28 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/05/20 12:45:28 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/05/20 12:45:28 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O4 - HKLM..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [gema] C:\Windows\System32\gema.exe (A Lf)
O4 - HKLM..\Run: [gema.] C:\ProgramData\gema\gema.exe (A Lf)
O4 - HKLM..\Run: [TkBellExe] C:\program files\real\realplayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\Bernard_ON_C..\Run: [Facebook Update] C:\Users\Bernard\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\Bernard_ON_C..\Run: [gema] C:\Users\Bernard\AppData\Roaming\gema\gema.exe (A Lf)
O4 - HKU\Bernard_ON_C..\Run: [Windows Init] C:\Users\Bernard\AppData\Roaming\xuntsejmyw2kkzopsjxcptufohlco1kg\svcnost.exe ()
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Bernard\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.254
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GO36F4~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\gema\gema.exe) - C:\ProgramData\gema\gema.exe (A Lf)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\gema.exe) - C:\Windows\System32\gema.exe (A Lf)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Bernard_ON_C Winlogon: Shell - (C:\Users\Bernard\AppData\Roaming\gema\gema.exe) - C:\Users\Bernard\AppData\Roaming\gema\gema.exe (A Lf)
O20 - HKU\Bernard_ON_C Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\Windows\System32\VESWinlogon.dll (Sony Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{67fe2c33-23da-11e0-9b67-002433e7ad42}\Shell - "" = AutoRun
O33 - MountPoints2\{67fe2c33-23da-11e0-9b67-002433e7ad42}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/03 21:21:26 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2012/04/03 18:48:04 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{0264ABC3-3E80-4E7B-B569-5A43E784E78F}
[2012/04/03 18:47:39 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{94B7B556-EE7E-4C6E-81BB-D6498F726D82}
[2012/04/03 18:40:19 | 000,419,952 | ---- | C] (A Lf) -- C:\Windows\System32\gema.exe
[2012/04/03 14:06:40 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{FB3021FA-5623-4F0F-8BFE-3D05A5C4FD38}
[2012/04/02 19:12:34 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{6F3DEE0F-3477-4CF7-BCF7-D3BF5F2E67C6}
[2012/04/02 19:12:20 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{E79D7652-553E-44FE-904B-D296F4DFAD6A}
[2012/04/02 19:04:09 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{CDC1B881-2C76-40F5-886F-94A928F88875}
[2012/04/02 19:03:56 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{36C90118-E25A-4988-A1B2-A5D2A412E5DF}
[2012/04/02 19:00:47 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Roaming\gema
[2012/04/02 19:00:47 | 000,000,000 | ---D | C] -- C:\ProgramData\gema
[2012/04/02 18:22:36 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Roaming\xuntsejmyw2kkzopsjxcptufohlco1kg
[2012/04/02 15:18:59 | 000,000,000 | ---D | C] -- C:\Users\Bernard\Desktop\Pokemon - Feuerrote Edition
[2012/04/02 15:18:17 | 000,000,000 | ---D | C] -- C:\Users\Bernard\Desktop\GBA - Emulator
[2012/04/02 10:28:33 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{C879BBA7-1624-4D33-9944-6F3B772874F4}
[2012/04/02 10:28:21 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{C79F2FE5-AC6F-4B37-BEE8-E3B99CB94607}
[2012/04/02 08:22:15 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{5EE4515C-B89A-4E82-9322-3C59EF08C27D}
[2012/04/02 08:20:07 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{E9E30AD0-68F4-457B-8B35-5A0C6FA5616D}
[2012/04/01 18:29:26 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{1FBC0E7E-F866-43A5-8518-D86D9B9990E3}
[2012/04/01 18:29:14 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{355BFD03-3E1C-4C2A-9F5E-BDD3C387FFCD}
[2012/04/01 13:54:58 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{AED7726B-6899-4AFE-AFC9-BBCD64E03FE7}
[2012/04/01 13:54:46 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{6427885C-BD5B-480D-9C41-D1FE58798E7A}
[2012/04/01 05:21:34 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{FB8E509D-0516-4DAA-AA5B-A346A1D1CBAF}
[2012/04/01 05:21:22 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{C930E7BE-2E35-4733-8DC9-D742C4F1E276}
[2012/03/31 16:48:56 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{96C15C85-FF98-432E-93FA-CB3BA8720A36}
[2012/03/31 16:48:26 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{52690673-8E96-493A-A07B-11568712CD26}
[2012/03/31 15:45:12 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\PokerStars.FR
[2012/03/31 15:44:41 | 000,000,000 | ---D | C] -- C:\Program Files\PokerStars.FR
[2012/03/31 14:05:10 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{0AFA5259-ADD1-4EE9-878F-5EA63F5B1AA1}
[2012/03/31 14:04:23 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{2FCD44D5-223D-49E6-BBA4-1308B23C2383}
[2012/03/30 04:48:35 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{E72619CB-BE88-4CAB-9D9E-809A4554764B}
[2012/03/29 06:27:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{B6BD3729-4FC3-425B-91F5-374DC02CC941}
[2012/03/28 05:21:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{D10893D4-ABFF-4C7B-8340-B1C3E5FEF63F}
[2012/03/28 05:20:58 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{6CA1FD65-A6D1-4405-A523-4D8480443D25}
[2012/03/27 07:04:43 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{F3D9779E-FB4E-4A15-9C4B-7BF0FD3A6113}
[2012/03/27 07:04:30 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{3F7F8E27-A138-4B1F-B4A9-76EE91AC117E}
[2012/03/26 14:34:03 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{0D72FCE3-EF49-4B75-8221-528ACF1B3B6F}
[2012/03/26 14:33:51 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{2E6763C8-FBA3-4946-B1F1-F746FE8E59DC}
[2012/03/25 05:58:08 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{4EA2D96B-945F-4F87-A1DC-4457BDF4F842}
[2012/03/25 05:57:56 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{721828BB-9D9D-497E-8CBD-680942EF10CD}
[2012/03/24 07:18:32 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{CD2F0514-E20D-4427-A22C-12F58DBB3B0E}
[2012/03/24 07:18:20 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{9FE7F05F-C7B7-4EA7-A73B-0722EFDC1335}
[2012/03/22 19:12:37 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{3172CE1C-7088-4FE7-BA7B-DEF01997DF95}
[2012/03/22 19:12:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{814DB324-8E62-45E1-A20C-67BD1201469D}
[2012/03/22 01:49:52 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{997FAA88-2896-4A3D-9108-F5B3988D9C09}
[2012/03/22 01:49:42 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{D052B364-F28A-4EB3-8B9C-3000CF676B51}
[2012/03/21 11:53:07 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{07AF7127-8FF4-4B22-A4D9-4544E774C644}
[2012/03/21 11:52:57 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{F683495E-98F8-4F9C-A832-39F489B9219C}
[2012/03/20 17:16:12 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{FBD18F80-20C4-45D7-8235-25F3FE8D233A}
[2012/03/20 17:16:01 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{D937A86D-72EA-4C81-BF79-0A4901B74846}
[2012/03/19 18:15:35 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{54922A1E-ECB0-45BD-9B6A-57DE98CB1483}
[2012/03/19 18:15:25 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{06C7F0B6-521F-48D2-957C-7269351D425D}
[2012/03/18 18:00:08 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{1649C48C-FE64-4876-A79C-DD12776B3387}
[2012/03/18 17:59:57 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{B7EEFBCB-5D45-4D3A-8B30-F4FB29408438}
[2012/03/16 16:31:09 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{5E8AEB5B-9BE0-4F56-9242-409AF0409ED8}
[2012/03/16 16:30:59 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{E5C1A2DD-B7E3-46F7-8DCE-301FBD7F6396}
[2012/03/15 16:37:38 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{9B445757-8B94-4D57-95FF-C1C97997236D}
[2012/03/15 16:37:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{26A72CAB-C79E-452C-BF53-98A7C253080C}
[2012/03/14 17:22:53 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{62B953D3-8C60-4FC7-BEB2-1001A0E54313}
[2012/03/14 17:22:43 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{DD09ED49-3BED-404F-9301-814C7D0CC2DA}
[2012/03/14 03:33:15 | 003,968,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2012/03/14 03:33:14 | 003,913,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012/03/13 18:30:01 | 002,343,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012/03/13 18:29:58 | 001,077,248 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll
[2012/03/13 18:29:26 | 000,129,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcorekmts.dll
[2012/03/13 18:29:26 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpwsx.dll
[2012/03/13 18:29:26 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdrmemptylst.exe
[2012/03/13 18:29:23 | 000,826,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcore.dll
[2012/03/13 18:24:38 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{8104A8AE-EA31-4414-8CC5-F4329ECFFA4B}
[2012/03/13 18:24:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{DC2CFB76-9F4E-4AEE-A5FF-FE19ACB28A3D}
[2012/03/12 17:22:44 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{6AC2ECE6-1A01-4511-82FA-63CA3F4E0DDF}
[2012/03/12 17:22:25 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{DF9B9914-0B0A-4C33-AB76-C2F277C3AD89}
[2012/03/11 18:21:30 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{10E696AC-584B-4DE7-AE4F-4FAB311A854B}
[2012/03/11 18:21:20 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{9C6A3510-76E0-4973-8DA4-7A8B43D8CF72}
[2012/03/10 18:21:27 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{0846A0B7-6BCA-4E02-8B9B-E58C51EA1CFE}
[2012/03/10 18:21:16 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{748A4D55-90D7-452E-8E93-45D05DBC0C0E}
[2012/03/10 03:17:47 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{457E666F-BA30-47DF-87B4-FE24C494A162}
[2012/03/10 03:17:37 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{52753632-B254-489B-AD4F-181E36DAB5C3}
[2012/03/09 10:27:59 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{D72855EA-6D98-4F77-B4E6-49C192EEBD35}
[2012/03/09 10:27:44 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{673AA683-70EE-4DA7-8907-0D7BDA2D4351}
[2012/03/07 19:44:07 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{C17F53B4-E033-49EA-AF12-9B16A3BEB958}
[2012/03/07 19:43:46 | 000,000,000 | ---D | C] -- C:\Users\Bernard\AppData\Local\{362784FD-3A71-45F2-9127-3C9041E99152}
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/03 18:48:04 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/04/03 18:46:50 | 2389,987,328 | -HS- | M] () -- C:\hiberfil.sys
[2012/04/02 19:18:22 | 000,011,120 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/04/02 19:18:22 | 000,011,120 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/04/02 19:15:59 | 000,668,778 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/04/02 19:15:59 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/04/02 19:15:59 | 000,134,562 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/04/02 19:15:59 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/04/02 19:00:46 | 000,419,952 | ---- | M] (A Lf) -- C:\Windows\System32\gema.exe
[2012/03/26 15:16:44 | 000,058,028 | ---- | M] () -- C:\Users\Bernard\Desktop\Instrumentensatz Komet.pdf
[2012/03/14 03:50:31 | 000,355,256 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
 
========== Files Created - No Company Name ==========
 
[2012/03/26 15:16:44 | 000,058,028 | ---- | C] () -- C:\Users\Bernard\Desktop\Instrumentensatz Komet.pdf
[2011/12/26 18:46:24 | 000,004,608 | ---- | C] () -- C:\Users\Bernard\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/05/07 07:34:10 | 000,252,928 | ---- | C] () -- C:\Windows\System32\DShowRdpFilter.dll
[2010/07/15 12:49:07 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010/06/18 13:28:33 | 000,000,086 | ---- | C] () -- C:\Windows\cdplayer.ini
[2010/04/26 15:36:48 | 000,021,532 | ---- | C] () -- C:\Windows\System32\emptyregdb.dat
[2010/04/26 15:17:53 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2009/09/24 07:50:30 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/09/23 16:46:13 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009/09/23 11:51:33 | 000,000,062 | ---- | C] () -- C:\Windows\WININIT.INI
[2009/09/23 07:36:00 | 000,000,000 | ---- | C] () -- C:\Windows\VAIOUpdt.INI
[2009/08/17 23:52:05 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/08/17 23:52:04 | 000,668,778 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/08/17 23:52:04 | 000,134,562 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/08/17 23:52:04 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,355,256 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,616,008 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,106,388 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009/06/18 13:29:04 | 000,197,654 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2009/05/15 13:22:04 | 000,004,608 | ---- | C] () -- C:\Windows\System32\HdmiCoin.dll
[2009/05/15 04:57:27 | 000,002,140 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2009/02/18 11:55:22 | 000,294,912 | ---- | C] () -- C:\Windows\System32\ATIODE.exe
[2009/02/03 14:52:04 | 000,045,056 | ---- | C] () -- C:\Windows\System32\ATIODCLI.exe
 
========== LOP Check ==========
 
[2011/08/04 11:56:11 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\DVDVideoSoft
[2011/03/24 08:04:34 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\DVDVideoSoftIEHelpers
[2012/04/02 19:00:47 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\gema
[2011/07/16 11:31:18 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\ICQ
[2010/04/26 15:29:33 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\InterVideo
[2011/02/01 19:51:49 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\ratiopharm
[2010/09/07 10:24:23 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\RouterControl
[2011/08/13 14:42:49 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\TS3Client
[2011/08/06 09:33:28 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\ts3overlay
[2010/04/26 15:29:54 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\TuneUp Software
[2012/04/02 18:22:36 | 000,000,000 | ---D | M] -- C:\Users\Bernard\AppData\Roaming\xuntsejmyw2kkzopsjxcptufohlco1kg
[2010/04/26 15:50:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2010/04/26 15:50:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2010/04/26 15:50:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2012/04/02 19:00:47 | 000,000,000 | ---D | M] -- C:\ProgramData\gema
[2010/04/26 15:24:28 | 000,000,000 | ---D | M] -- C:\ProgramData\ICQ
[2010/04/26 15:24:35 | 000,000,000 | ---D | M] -- C:\ProgramData\Roaming
[2010/07/15 12:49:07 | 000,000,000 | ---D | M] -- C:\ProgramData\SlySoft
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2010/04/26 15:50:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2010/07/15 13:44:38 | 000,000,000 | ---D | M] -- C:\ProgramData\Temp
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2010/04/26 15:24:46 | 000,000,000 | ---D | M] -- C:\ProgramData\TuneUp Software
[2010/04/26 15:24:46 | 000,000,000 | ---D | M] -- C:\ProgramData\Uninstall
[2010/04/26 15:50:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2010/11/03 13:17:07 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010/04/26 15:24:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\{55A29068-F2CE-456C-9148-C869879E2357}
[2011/09/29 08:08:00 | 000,000,914 | ---- | M] () -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2700915886-2116032938-1716023844-1000Core.job
[2011/09/29 08:08:00 | 000,000,936 | ---- | M] () -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2700915886-2116032938-1716023844-1000UA.job
[2012/02/21 16:42:31 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---

Wie soll ich fortfahren?

Danke im Vorraus

markusg 04.04.2012 18:11
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKLM..\Run: [gema] C:\Windows\System32\gema.exe (A Lf)
O4 - HKLM..\Run: [gema.] C:\ProgramData\gema\gema.exe (A Lf)
O4 - HKU\Bernard_ON_C..\Run: [gema] C:\Users\Bernard\AppData\Roaming\gema\gema.exe (A Lf)
O4 - HKU\Bernard_ON_C..\Run: [Windows Init] C:\Users\Bernard\AppData\Roaming\xuntsejmyw2kkzopsjxcptufohlco1kg\svcnost.exe ()
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\gema\gema.exe) - C:\ProgramData\gema\gema.exe (A Lf)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\gema.exe) - C:\Windows\System32\gema.exe (A Lf)
O20 - HKU\Bernard_ON_C Winlogon: Shell - (C:\Users\Bernard\AppData\Roaming\gema\gema.exe) - C:\Users\Bernard\AppData\Roaming\gema\gema.exe (A Lf)
:Files
C:\Windows\System32\gema.exe
C:\ProgramData\gema
C:\Users\Bernard\AppData\Roaming\xuntsejmyw2kkzopsjxcptufohlco1kg
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Bernard 05.04.2012 01:06
Hallo:)

also nachdem er mich gefragt hat ob ich ein restart machen will habe ich auf ja gedrückt und die CD rausgenommen aber ab da ging nix mehr. Hab also das pc einfach ausgeschaltet und dann ohne CD angemacht und es ging:D dafür danke ich dir erstmal:D
Eine otl.txt datei hat er mir aber leider nicht angezeigt und ergendwo finden konnte ich es auch nicht:(
Movedfiles.zip datei habe ich hochgeladen.
Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

Ist die otl.txt Datei sehr wichtig? wenn ja wie soll ich das finden?
Und was muss ich sonst noch machen?

Danke im vorraus

markusg 05.04.2012 11:57
hi
danke für den upload, die txt find ich da drinn.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bernard 05.04.2012 13:34
Hi,
hab combofix laufen lassen und hier ist die log Datei:


Combofix Logfile:
Code:
ComboFix 12-04-05.06 - Bernard 05.04.2012  21:16:12.1.2 - x86
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.3039.2082 [GMT 2:00]
ausgeführt von:: c:\users\Bernard\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Bernard\AppData\Roaming\gema
c:\windows\system32\Thumbs.db
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-03-05 bis 2012-04-05  ))))))))))))))))))))))))))))))
.
.
2012-04-05 19:25 . 2012-04-05 19:25        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-04-05 12:21 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe
2012-04-05 12:21 . 2012-04-05 06:38        --------        d-----w-        C:\_OTL
2012-03-31 19:45 . 2012-03-31 19:49        --------        d-----w-        c:\users\Bernard\AppData\Local\PokerStars.FR
2012-03-31 19:44 . 2012-03-31 20:08        --------        d-----w-        c:\program files\PokerStars.FR
2012-03-30 08:52 . 2012-03-14 02:15        6582328        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{11620F95-3BE2-4146-AC07-32A264932C7D}\mpengine.dll
2012-03-14 07:33 . 2011-11-19 14:50        3968368        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-03-14 07:33 . 2011-11-19 14:50        3913584        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-03-13 22:30 . 2012-02-03 03:54        2343424        ----a-w-        c:\windows\system32\win32k.sys
2012-03-13 22:29 . 2012-02-10 05:38        1077248        ----a-w-        c:\windows\system32\DWrite.dll
2012-03-13 22:29 . 2012-01-25 05:32        58880        ----a-w-        c:\windows\system32\rdpwsx.dll
2012-03-13 22:29 . 2012-01-25 05:32        129536        ----a-w-        c:\windows\system32\rdpcorekmts.dll
2012-03-13 22:29 . 2012-01-25 05:27        8192        ----a-w-        c:\windows\system32\rdrmemptylst.exe
2012-03-13 22:29 . 2012-02-17 05:34        826880        ----a-w-        c:\windows\system32\rdpcore.dll
2012-03-13 22:29 . 2012-02-17 04:14        183808        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-03-13 22:29 . 2012-02-17 04:13        24576        ----a-w-        c:\windows\system32\drivers\tdtcp.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2009-10-03 10:59        237072        ------w-        c:\windows\system32\MpSigStub.exe
2012-02-22 23:12 . 2011-05-16 09:55        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-15 22:05 . 2011-10-13 19:00        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-07-04 19:52 . 2011-05-20 16:45        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
2010-08-11 16:36 . 2010-08-11 16:36        119808        ----a-w-        c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"="c:\users\Bernard\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2011-09-29 137536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2009-04-13 155648]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-11 30192]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2011-10-23 273528]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-01-16 421736]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Air Mouse.lnk - c:\program files\Air Mouse\Air Mouse\Air Mouse.exe [2010-12-27 1044648]
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-1 789032]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-01-19 10:49        98304        ----a-w-        c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-11 30192]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2011-05-10 18432]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2011-07-22 1343400]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 36000]
S1 VWiFiFlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 RtkAudioService;Realtek Audio Service;c:\program files\Realtek\Audio\HDA\RtkAudioService.exe [2009-01-06 109088]
S2 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-10 29736]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-09-29 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2700915886-2116032938-1716023844-1000Core.job
- c:\users\Bernard\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-29 12:03]
.
2011-09-29 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2700915886-2116032938-1716023844-1000UA.job
- c:\users\Bernard\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-29 12:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube to MP3 Converter - c:\users\Bernard\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.0.254
FF - ProfilePath - c:\users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\gro7i1ul.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-gema - c:\users\Bernard\AppData\Roaming\gema\gema.exe
HKLM-Run-gema - c:\windows\system32\gema.exe
HKLM-Run-gema. - c:\programdata\gema\gema.exe
AddRemove-PokerStars.fr - c:\program files\PokerStars.FR\PokerStarsUninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-04-05  21:27:56
ComboFix-quarantined-files.txt  2012-04-05 19:27
.
Vor Suchlauf: 12 Verzeichnis(se), 230.656.925.696 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 231.698.378.752 Bytes frei
.
- - End Of File - - A024383358455F337E9424A8E6E65BEB
--- --- ---

markusg 05.04.2012 16:31
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Bernard 05.04.2012 20:29
So hab das auch nun gemacht und hab auch den folgendes bekommen:

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Bernard :: BERNARD [Administrator]

05.04.2012 19:08:02
mbam-log-2012-04-05 (19-08-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 374728
Laufzeit: 2 Stunde(n), 1 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)




hab das kömisch gefunden weil er ja nix gefunden hat . Hab also bei Avira nageguckt und hab da eigenes gefunden was passier ist hab auch da die logs kopiert:

Exportierte Ereignisse:

05.04.2012 21:41 [Echtzeit Scanner] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.18
Engine Version: 8.2.10.38
VDF Version: 7.11.27.22

05.04.2012 21:41 [Hilfsdienst] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.17
Engine Version: 8.2.10.38
VDF Version: 7.11.27.22

05.04.2012 21:41 [Planer] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version 12.1.0.18

05.04.2012 21:40 [Echtzeit Scanner] Dienst gestoppt
Der Dienst wurde gestoppt.

05.04.2012 21:40 [Planer] Dienst gestoppt
Der Dienst wurde gestoppt.

05.04.2012 21:19 [Updater] Update erfolgreich durchgeführt
Update von Avira Free Antivirus auf Computer BERNARD (192.168.0.23) erfolgreich
durchgeführt.
Folgende Dateien wurden von hxxp://62.146.66.180/update aktualisiert:
vbase031.vdf 7.11.27.28
aevdf.dat 7.11.27.28
avreg.dll 12.1.0.36
avreg.yml 1.0.0.16

05.04.2012 21:19 [Echtzeit Scanner] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.18
Engine Version: 8.2.10.38
VDF Version: 7.11.27.28

05.04.2012 21:19 [Hilfsdienst] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.17
Engine Version: 8.2.10.38
VDF Version: 7.11.27.28

05.04.2012 21:19 [Echtzeit Scanner] Dienst gestoppt
Der Dienst wurde gestoppt.

05.04.2012 21:19 [Planer] Auftrag gestartet
Auftrag "AVImmediateUpdateJobEx"
wurde erfolgreich gestartet.

05.04.2012 21:11 [Echtzeit Scanner] Echtzeit Scanner deaktiviert
Echtzeit Scanner wurde deaktiviert.

05.04.2012 21:07 [Updater] Update erfolgreich durchgeführt
Update von Avira Free Antivirus auf Computer BERNARD (192.168.0.23) erfolgreich
durchgeführt.
Folgende Dateien wurden von hxxp://80.190.143.235/update aktualisiert:
vbase016.vdf 7.11.26.241
vbase017.vdf 7.11.26.242
vbase018.vdf 7.11.26.243
vbase019.vdf 7.11.26.244
vbase020.vdf 7.11.26.245
vbase021.vdf 7.11.26.246
vbase022.vdf 7.11.26.247
vbase023.vdf 7.11.26.248
vbase024.vdf 7.11.26.249
vbase025.vdf 7.11.26.250
vbase026.vdf 7.11.26.251
vbase027.vdf 7.11.26.252
vbase028.vdf 7.11.26.253
vbase029.vdf 7.11.26.254
vbase030.vdf 7.11.26.255
vbase031.vdf 7.11.27.22
aevdf.dat 7.11.27.22
aeheur.dll 8.1.4.12
aeoffice.dll 8.1.2.27
aescript.dll 8.1.4.16
aeexp.dll 8.1.0.28
aeset.dat 8.2.10.38

05.04.2012 21:07 [Echtzeit Scanner] Engine neu geladen
Die Engine wurde neu geladen.
Engine Version: 8.2.10.38
VDF Version: 7.11.27.22

05.04.2012 21:06 [Planer] Auftrag gestartet
Auftrag "AVImmediateUpdateJobEx"
wurde erfolgreich gestartet.

05.04.2012 21:06 [System Scanner] Malware gefunden
Die Datei
'C:\_OTL\MovedFiles\04052012_082100\C_Users\Bernard\AppData\Roaming\xuntsejmyw2k
kzopsjxcptufohlco1kg\svcnost.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Dapato.atgc' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01ab37ee.qua'
verschoben!

05.04.2012 21:06 [System Scanner] Malware gefunden
Die Datei 'C:\_OTL\MovedFiles\04052012_082100\C_Windows\System32\gema.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6796783c.qua'
verschoben!

05.04.2012 21:06 [System Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 71
Anzahl Verzeichnisse: 0
Anzahl Malware: 4
Anzahl Warnungen: 0

05.04.2012 21:06 [System Scanner] Malware gefunden
Die Datei 'C:\_OTL\MovedFiles\04052012_082100\C_ProgramData\gema\gema.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6942bc.qua'
verschoben!

05.04.2012 21:06 [System Scanner] Malware gefunden
Die Datei
'C:\_OTL\MovedFiles\04052012_082100\C_Users\Bernard\AppData\Roaming\gema\gema.ex
e'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53fe6d14.qua'
verschoben!

05.04.2012 21:06 [System Scanner] Malware gefunden
Die Datei 'C:\Users\Bernard\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Low\Content.IE5\ZAQG0TMY\main[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'JS/Loader.H' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5346c8.qua'
verschoben!

05.04.2012 21:06 [System Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 68
Anzahl Verzeichnisse: 0
Anzahl Malware: 1
Anzahl Warnungen: 0

05.04.2012 21:02 [Echtzeit Scanner] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.18
Engine Version: 8.2.10.36
VDF Version: 7.11.26.206

05.04.2012 21:02 [Hilfsdienst] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 12.1.0.17
Engine Version: 8.2.10.36
VDF Version: 7.11.26.206

05.04.2012 21:02 [Planer] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version 12.1.0.18

05.04.2012 20:51 [Echtzeit Scanner] Malware gefunden
In der Datei
'C:\_OTL\MovedFiles\04052012_082100\C_Users\Bernard\AppData\Roaming\gema\gema.ex
e'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.04.2012 20:51 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\_OTL\MovedFiles\04052012_082100\C_ProgramData\gema\gema.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.04.2012 20:51 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\_OTL\MovedFiles\04052012_082100\C_Windows\System32\gema.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.421888' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.04.2012 20:51 [Echtzeit Scanner] Malware gefunden
In der Datei
'C:\_OTL\MovedFiles\04052012_082100\C_Users\Bernard\AppData\Roaming\xuntsejmyw2k
kzopsjxcptufohlco1kg\svcnost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Dapato.atgc' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.04.2012 19:54 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\Users\Bernard\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Low\Content.IE5\ZAQG0TMY\main[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Loader.H' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

05.04.2012 19:54 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\Users\Bernard\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Low\Content.IE5\ZAQG0TMY\main[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Loader.H' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern




tut mir leid wenn das jetzt nicht so glatt gelaufen ist. Ich hoffe das die sachen die ich gepostet habe dir was bringen sonst kannst du mir gerne sagen was ich sonst machen soll.

Danke für dein Geduld :)

hi,

ich hab avira nochmal ein vollständigen Scan machen lassen und es zeigt nochmal 10 Funde an wovon nur 3 in Quarantäne gesteckt worden sind :S hier ist der Bericht:




Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 5. April 2012 23:22

Es wird nach 3596409 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BERNARD

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 22:05:48
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 22:05:48
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 22:05:49
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 22:05:49
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 19:19:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 22:08:06
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:25:07
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 15:02:59
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 15:02:59
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 15:02:59
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 15:02:59
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 15:02:59
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 15:02:59
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 15:02:59
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 15:02:59
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 15:02:59
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 15:03:00
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 10:26:57
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 15:00:49
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 19:06:51
VBASE017.VDF : 7.11.26.242 2048 Bytes 04.04.2012 19:06:51
VBASE018.VDF : 7.11.26.243 2048 Bytes 04.04.2012 19:06:51
VBASE019.VDF : 7.11.26.244 2048 Bytes 04.04.2012 19:06:52
VBASE020.VDF : 7.11.26.245 2048 Bytes 04.04.2012 19:06:52
VBASE021.VDF : 7.11.26.246 2048 Bytes 04.04.2012 19:06:52
VBASE022.VDF : 7.11.26.247 2048 Bytes 04.04.2012 19:06:52
VBASE023.VDF : 7.11.26.248 2048 Bytes 04.04.2012 19:06:52
VBASE024.VDF : 7.11.26.249 2048 Bytes 04.04.2012 19:06:52
VBASE025.VDF : 7.11.26.250 2048 Bytes 04.04.2012 19:06:52
VBASE026.VDF : 7.11.26.251 2048 Bytes 04.04.2012 19:06:52
VBASE027.VDF : 7.11.26.252 2048 Bytes 04.04.2012 19:06:53
VBASE028.VDF : 7.11.26.253 2048 Bytes 04.04.2012 19:06:53
VBASE029.VDF : 7.11.26.254 2048 Bytes 04.04.2012 19:06:53
VBASE030.VDF : 7.11.26.255 2048 Bytes 04.04.2012 19:06:53
VBASE031.VDF : 7.11.27.28 181248 Bytes 05.04.2012 19:19:09
Engineversion : 8.2.10.38
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 15:01:08
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 05.04.2012 19:06:58
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:38:59
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 21:22:48
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 15:02:45
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 05.04.2012 19:06:57
AEHEUR.DLL : 8.1.4.12 4604278 Bytes 05.04.2012 19:06:57
AEHELP.DLL : 8.1.19.1 254327 Bytes 02.04.2012 15:00:56
AEGEN.DLL : 8.1.5.23 409973 Bytes 07.03.2012 23:43:17
AEEXP.DLL : 8.1.0.28 82292 Bytes 05.04.2012 19:06:58
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 20:36:19
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 22:05:48
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 5. April 2012 23:22

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apvfb.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Air Mouse.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'FacebookUpdate.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'uCamMonitor.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkAudioService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1191' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Bernard\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\f57ca2e-2c6807c0
[0] Archivtyp: ZIP
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/L.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
C:\Users\Bernard\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\a3226b3-504ada93
[0] Archivtyp: ZIP
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/L.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
C:\_OTL\MovedFiles.zip
[0] Archivtyp: ZIP
--> MovedFiles/04052012_082100/C_ProgramData/gema/gema.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.421888
--> MovedFiles/04052012_082100/C_Users/Bernard/AppData/Roaming/gema/gema.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.421888
--> MovedFiles/04052012_082100/C_Users/Bernard/AppData/Roaming/xuntsejmyw2kkzopsjxcptufohlco1kg/svcnost.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Dapato.atgc
--> MovedFiles/04052012_082100/C_Windows/System32/gema.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.421888
Beginne mit der Suche in 'H:\' <Volume>

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles.zip
[FUND] Ist das Trojanische Pferd TR/Ransom.421888
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8dbf2c.qua' verschoben!
C:\Users\Bernard\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\a3226b3-504ada93
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '525e9047.qua' verschoben!
C:\Users\Bernard\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\f57ca2e-2c6807c0
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0004caa9.qua' verschoben!


Ende des Suchlaufs: Freitag, 6. April 2012 00:39
Benötigte Zeit: 1:16:10 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

26427 Verzeichnisse wurden überprüft
475831 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
475821 Dateien ohne Befall
2850 Archive wurden durchsucht
0 Warnungen
3 Hinweise
563911 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



ist der PC noch zu retten oder muss ich nun doch noch eine Datensicherung machen und es formatieren ? :(

markusg 06.04.2012 15:56
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Bernard 06.04.2012 20:45
hi,
so hier ist die liste :
7-Zip 4.65 04.04.2012 nötig
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 17.09.2011 6,00MB 10.3.183.7 nötig
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 22.02.2012 6,00MB 11.1.102.62 nötig
Adobe Reader X (10.1.2) - Deutsch Adobe Systems Incorporated 11.01.2012 167,2MB 10.1.2nötig
Advanced Uninstaller PRO 2006 - version 7 Innovative Solutions 25.04.2010 7 unötig (wenn ich CCcleaner hab
Alps Pointing-device for VAIO ALPS ELECTRIC CO., LTD. 25.04.2010 unbekannt
Apple Application Support Apple Inc. 03.01.2012 60,6MB 2.1.6 nötig
Apple Mobile Device Support Apple Inc. 03.01.2012 23,6MB 4.0.0.97 nötig
Apple Software Update Apple Inc. 28.06.2011 2,20MB 2.1.3.127 nötig
ArcSoft Magic-i Visual Effects 2 ArcSoft 25.04.2010 2.0.1.39nötig
ArcSoft WebCam Companion 2 ArcSoft 25.04.2010 nötig
ATI Catalyst Install Manager 23.09.2009 nötig
Avira Free Antivirus Avira 15.02.2012 104,4MB 12.0.0.898 nötig
Bonjour Apple Inc. 11.10.2011 0,99MB 3.0.0.10 unbekannt
CCleaner Piriform 05.04.2012 3.17 nötig
Counter-Strike: Source Valve 03.08.2011 nötig
DivX-Setup DivX, LLC 21.06.2011 2.5.0.8 nötig
Facebook Video Calling 1.2.0.159 Skype Limited 20.03.2012 4,77MB 1.2.159 nötig
Google Desktop Google 11.08.2010 5.9.1005.12335 nötig
HDAUDIO SoftV92 Data Fax Modem with SmartCP 25.04.2010 unbekannt
ICQ7.4 ICQ 03.04.2011 7.4 unnötig
iTunes Apple Inc. 03.02.2012 168,4MB 0.5.3.3 nötig
Java(TM) 6 Update 29 Sun Microsystems, Inc. 14.05.2009 96,9MB 6.0.290 nötig
Malwarebytes Anti-Malware Version 1.60.1.1000 Malwarebytes Corporation 04.04.2012 17,3MB 1.60.1.1000 nötig
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 24.06.2010 38,8MB 4.0.30319 unbekannt
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 24.06.2010 2,94MB 4.0.30319 unbekannt
Microsoft Office File Validation Add-In Microsoft Corporation 15.09.2011 7,95MB 14.0.5130.5003 unbekannt
Microsoft Office Professional Edition 2003 Microsoft Corporation 13.03.2012 928MB 11.0.8173.0 nötig
Microsoft Silverlight Microsoft Corporation 16.02.2012 206MB 4.1.10111.0 unbekannt
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 22.09.2009 0,24MB 8.0.50727.4053 unbekannt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 15.06.2011 0,29MB 8.0.61001 unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 23.09.2009 0,19MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 01.05.2011 0,59MB 9.0.30729.5570 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 22.09.2009 0,57MB 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 03.11.2010 0,58MB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 15.06.2011 0,59MB 9.0.30729.6161 unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 13.10.2011 12,3MB 10.0.40219 unbekannt
Mobile Mouse Server RPA Tech, Inc 25.03.2011 1,08MB 2.5.0 nötig
Mozilla Firefox 5.0 (x86 de) Mozilla 03.07.2011 33,5MB 5.0 nötig
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 22.09.2009 1,28MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 23.11.2009 1,33MB 4.20.9876.0 unbekannt
PokerStars PokerStars 19.01.2012 nötig
QuickTime Apple Inc. 03.01.2012 72,4MB 7.71.80.42 nötig
RealPlayer RealNetworks 22.10.2011 nötig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 26.04.2010 6.0.1.5880 nötig
RouterControl 2.0 25.07.2010 nötig
Skype™ 5.5 Skype Technologies S.A. 16.10.2011 33,5MB 5.5.124 nötig
Splashtop DeviceVM, Inc. 22.09.2009 142,9MB 1.0.7.2 nötig
Steam Valve Corporation 03.08.2011 1,58MB 1.0.0.0 nötig
Steamless Counter Strike Source Pack Steamless 13.04.2011 1.0 nötig
TeamSpeak 3 Client TeamSpeak Systems GmbH 05.08.2011 nötig
VAIO Content Metadata XML Interface Library Sony Corporation 22.09.2009 3.4.0.13160 unbekannt
VAIO DVD Menu Data Basic Sony Corporation 22.09.2009 1.0.00.08130 unbekannt
VAIO Wallpaper Contents Sony Corporation 22.09.2009 1.3.0.10310 unbekannt
VLC media player 1.1.11 VideoLAN 26.12.2011 1.1.11 unbekannt
WIDCOMM Bluetooth Software Broadcom Corporation 14.05.2009 87,7MB 6.2.0.8000 nötig
Windows Live Essentials Microsoft Corporation 31.07.2011 15.4.3538.0513 nötig
WinRAR 4.00 (32-Bit) win.rar GmbH 08.04.2011 4.00.0 nötig



Danke im Voraus

markusg 11.04.2012 19:02
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren.

deinstaliere:
Microsoft Silverlight

öffne ccleaner analysiernen, ccleaner starten, testen wie das system läuft

Bernard 12.04.2012 00:30
hi,

hab das alles gemacht :D
und es läuft auch alles hab auch wieder ein scan mit avira gemacht und auch nichts gefunden.
Kann ich jetzt noch ergendwas machen ? Kann ich mir jetzt auch sicher sein das ich kein Virus mehr hab?

Aufjedenfall danke sehr für deine Hilfe...:D

markusg 12.04.2012 09:15
pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.68

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131