Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungstrojaner (https://www.trojaner-board.de/115211-verschluesselungstrojaner.html)

CobraOne 16.05.2012 12:47
Verschlüsselungstrojaner
 
Der PC einer Bekannten ist mit einem Verschlüsselungstrojaner infiziert.
Ein Starten im abgesicherten Modus ist nicht möglich, da dann das System neu bootet.

2. CD-Rom Laufwerk ist nicht eingebaut. Dh. Datenaustausch kann nur über USB-Stick erfolgen.

OTLPENet Boot-CD wurde erstellt und ein OTLPE Scan durchgeführt.

OTL.txt
Code:
OTL logfile created on: 5/16/2012 7:54:43 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
958.00 Mb Total Physical Memory | 753.00 Mb Available Physical Memory | 79.00% Memory free
858.00 Mb Paging File | 771.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 106.72 Gb Free Space | 71.60% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2012/05/01 09:54:14 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2006/03/24 13:09:22 | 000,139,367 | ---- | M] (Kaspersky Lab) [Auto] -- C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe -- (AVP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/03/24 12:36:35 | 000,164,992 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\athsgt.sys -- (athsgt)
DRV - [2012/03/24 12:36:34 | 000,012,544 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\limsgt.sys -- (limsgt)
DRV - [2009/06/10 10:46:54 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2006/10/27 05:43:40 | 000,162,064 | ---- | M] (Kaspersky Lab) [Kernel | System] -- C:\WINDOWS\system32\drivers\klif.sys -- (klif)
DRV - [2006/03/17 12:24:10 | 001,520,640 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006/02/13 10:24:10 | 000,020,699 | ---- | M] (Kaspersky Lab) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\kl1.sys -- (kl1)
DRV - [2005/03/17 12:30:10 | 000,132,608 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005/03/09 09:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005/03/04 08:21:36 | 000,065,664 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\baspxp32.sys -- (Blfp)
DRV - [2004/11/23 09:36:22 | 000,956,890 | ---- | M] (Conexant) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\winacusb.sys -- (Winacusb)
DRV - [2004/09/21 14:53:18 | 002,278,784 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/08/03 12:29:50 | 000,019,455 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wVchNTxx.sys -- (iAimFP4)
DRV - [2004/08/03 12:29:48 | 000,012,063 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wSiINTxx.sys -- (iAimFP3)
DRV - [2004/08/03 12:29:46 | 000,025,471 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wATV10nt.sys -- (iAimTV5)
DRV - [2004/08/03 12:29:46 | 000,023,615 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys -- (iAimTV4)
DRV - [2004/08/03 12:29:46 | 000,022,271 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wATV06nt.sys -- (iAimTV6)
DRV - [2004/08/03 12:29:44 | 000,033,599 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wATV04nt.sys -- (iAimTV3)
DRV - [2004/08/03 12:29:44 | 000,019,551 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wATV02NT.sys -- (iAimTV1)
DRV - [2004/08/03 12:29:42 | 000,029,311 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wATV01nt.sys -- (iAimTV0)
DRV - [2004/08/03 12:29:42 | 000,011,871 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV09NT.sys -- (iAimFP7)
DRV - [2004/08/03 12:29:40 | 000,011,807 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV07nt.sys -- (iAimFP5)
DRV - [2004/08/03 12:29:40 | 000,011,295 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV08NT.sys -- (iAimFP6)
DRV - [2004/08/03 12:29:38 | 000,161,020 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\i81xnt5.sys -- (i81x)
DRV - [2004/08/03 12:29:38 | 000,012,415 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV01nt.sys -- (iAimFP0)
DRV - [2004/08/03 12:29:38 | 000,012,127 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV02NT.sys -- (iAimFP1)
DRV - [2004/08/03 12:29:38 | 000,011,775 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wADV05NT.sys -- (iAimFP2)
DRV - [2002/04/04 02:32:06 | 000,028,416 | R--- | M] (LSI Logic) [Kernel | Disabled] -- C:\WINDOWS\system32\DRIVERS\symmpi.sys -- (Symmpi)
DRV - [2001/08/17 08:02:56 | 000,003,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SWUSBFLT.SYS -- (SWUSBFLT)
DRV - [2001/08/17 08:02:50 | 000,002,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HIDSwvd.sys -- (HIDSwvd)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.aon.at
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mystart.incredimail.com/?a=1jSpj338qB1
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\Administrator_ON_C\..\URLSearchHook: {990af1c2-5a27-4460-8149-ecc6bc122af3} - C:\Programme\IncrediMail_MediaBar_Deutsch_2\prxtbInc0.dll (Conduit Ltd.)
IE - HKU\Administrator_ON_C\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.)
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "MyStart Search"
FF - prefs.js..browser.startup.homepage: "www.telekom.at"
FF - prefs.js..keyword.URL: "hxxp://mystart.incredimail.com//?loc=ff_address_bar&a=1jSpj338qB1&search="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/01 09:54:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/09/04 04:58:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.12\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011/08/20 06:39:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.12\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2011/06/20 17:24:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2011/06/20 17:24:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012/05/06 06:01:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\bjd6if74.default\extensions
[2012/05/01 09:56:40 | 000,000,000 | ---D | M] (IncrediMail MediaBar Deutsch 2 Community Toolbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\bjd6if74.default\extensions\{990af1c2-5a27-4460-8149-ecc6bc122af3}
[2011/11/14 12:33:11 | 000,002,187 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\bjd6if74.default\searchplugins\MyStart Search.xml
[2011/06/20 16:53:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
[2012/05/01 09:54:13 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/03/31 03:39:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/03/31 03:39:37 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/03/31 03:39:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/31 03:39:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/31 03:39:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/31 03:39:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/08/03 22:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (IncrediMail MediaBar Deutsch 2 Toolbar) - {990af1c2-5a27-4460-8149-ecc6bc122af3} - C:\Programme\IncrediMail_MediaBar_Deutsch_2\prxtbInc0.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar Deutsch 2 Toolbar) - {990af1c2-5a27-4460-8149-ecc6bc122af3} - C:\Programme\IncrediMail_MediaBar_Deutsch_2\prxtbInc0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.)
O3 - HKU\Administrator_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (IncrediMail MediaBar Deutsch 2 Toolbar) - {990AF1C2-5A27-4460-8149-ECC6BC122AF3} - C:\Programme\IncrediMail_MediaBar_Deutsch_2\prxtbInc0.dll (Conduit Ltd.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe (mquadr.at software engineering & consulting GmbH)
O4 - HKLM..\Run: [Controller] C:\Programme\A1 Telekom Austria\Controller\Controller.exe (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)
O4 - HKLM..\Run: [kav] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe (Kaspersky Lab)
O4 - HKLM..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe (OLYMPUS IMAGING CORP.)
O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company)
O4 - HKU\Administrator_ON_C..\Run: [79F70225] C:\WINDOWS\system32\B1CF76A379F70225737A.exe (Корпорация Майкрософт)
O4 - HKU\Administrator_ON_C..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe (mquadr.at software engineering und consulting GmbH)
O4 - HKU\Administrator_ON_C..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.)
O4 - HKU\Administrator_ON_C..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe (OLYMPUS IMAGING CORP.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll (Kaspersky Lab)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\B1CF76A379F70225737A.exe) - C:\WINDOWS\system32\B1CF76A379F70225737A.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2BA010ED79F7022503DE.exe) - C:\WINDOWS\system32\2BA010ED79F7022503DE.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\595BE9F279F7022571C4.exe) - C:\WINDOWS\system32\595BE9F279F7022571C4.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\8577721E79F70225F895.exe) - C:\WINDOWS\system32\8577721E79F70225F895.exe (Корпорация Майкрософт)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{d935fd99-bf94-11dc-ad9d-001617a4cfbe}\Shell\AutoRun\command - "" = E:\AutoTransfer.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/13 06:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cvixylrjwgn
[2012/05/13 06:32:17 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\8577721E79F70225F895.exe
[2012/05/13 05:53:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cqreytbvmnl
[2012/05/13 05:53:23 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\595BE9F279F7022571C4.exe
[2012/05/13 05:38:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vldcuboke
[2012/05/13 05:38:19 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\2BA010ED79F7022503DE.exe
[2012/05/13 05:14:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Fpnjygr
[2012/05/13 05:13:10 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\B1CF76A379F70225737A.exe
[2012/05/01 09:54:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/01 09:54:28 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/04/22 06:26:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\focus-startseite.wk-Dateien
[1999/03/11 13:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998/12/08 22:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998/12/08 22:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998/12/08 22:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998/12/08 22:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998/12/08 22:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/16 11:33:26 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/16 11:33:13 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2012/05/16 11:33:01 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/16 11:32:58 | 1005,113,344 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/15 10:52:19 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/14 09:47:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/14 09:10:52 | 045,466,656 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/05/13 08:57:16 | 004,322,336 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2012/05/13 07:47:27 | 000,609,836 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/05/13 07:47:27 | 000,406,244 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2012/05/13 06:32:17 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\8577721E79F70225F895.exe
[2012/05/13 05:53:23 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\595BE9F279F7022571C4.exe
[2012/05/13 05:38:19 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\2BA010ED79F7022503DE.exe
[2012/05/13 05:13:10 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\B1CF76A379F70225737A.exe
[2012/05/13 04:51:48 | 000,056,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Bestelldetails.zip
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/11 06:11:09 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Word.lnk
[2012/05/10 00:03:29 | 000,163,528 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/09 14:57:16 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/02 12:52:02 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2012/04/29 04:17:21 | 000,002,513 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Excel.lnk
[2012/04/26 13:53:43 | 000,391,330 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/04/26 13:53:43 | 000,380,486 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/04/26 13:53:43 | 000,063,778 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/04/26 13:53:43 | 000,052,900 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/23 14:05:49 | 000,000,474 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Administrator.job
[2012/04/22 06:26:21 | 000,021,628 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\focus-startseite.wk.htm
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/13 05:13:53 | 000,056,440 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Bestelldetails.zip
[2012/04/22 06:26:18 | 000,021,628 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\focus-startseite.wk.htm
[2012/03/24 12:36:35 | 000,164,992 | ---- | C] () -- C:\WINDOWS\System32\drivers\athsgt.sys
[2012/03/24 12:36:34 | 000,012,544 | ---- | C] () -- C:\WINDOWS\System32\drivers\limsgt.sys
[2012/02/16 10:09:52 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/06/20 16:53:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/06/20 16:53:47 | 000,002,266 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2010/12/05 15:37:39 | 000,080,746 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2009/09/05 13:19:24 | 000,000,048 | ---- | C] () -- C:\WINDOWS\PonkyGezieltM12.ini
[2009/09/05 13:12:58 | 000,000,044 | ---- | C] () -- C:\WINDOWS\Inselspiel.ini
[2009/09/05 13:02:32 | 000,000,050 | ---- | C] () -- C:\WINDOWS\PonkyGezieltD12.ini
[2009/08/16 10:50:45 | 000,000,117 | ---- | C] () -- C:\WINDOWS\LilliP.ini
[2009/01/29 11:00:40 | 000,066,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/01/01 10:36:18 | 000,000,158 | ---- | C] () -- C:\WINDOWS\WLP-WC-Demo.ini
[2008/09/20 08:09:43 | 000,000,078 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\dirstate.xml
[2007/11/17 05:06:27 | 000,000,049 | ---- | C] () -- C:\WINDOWS\cgminivw.ini
[2007/10/21 02:52:40 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007/08/29 12:44:35 | 000,006,740 | ---- | C] () -- C:\WINDOWS\AsphaltDuell.ini
[2007/08/19 13:47:09 | 000,000,105 | ---- | C] () -- C:\WINDOWS\Tiny_Run.ini
[2006/12/24 10:12:31 | 000,000,582 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2006/11/07 14:26:30 | 000,000,050 | ---- | C] () -- C:\WINDOWS\Sierra.ini
[2006/11/07 14:00:10 | 000,000,376 | ---- | C] () -- C:\WINDOWS\mozregistry.dat
[2006/11/01 14:35:06 | 000,000,066 | ---- | C] () -- C:\WINDOWS\iltwain.ini
[2006/10/27 15:03:28 | 000,398,848 | ---- | C] () -- C:\WINDOWS\01SETU32.EXE
[2006/10/27 15:03:28 | 000,185,555 | ---- | C] () -- C:\WINDOWS\CHS_SUP.DLL
[2006/10/27 15:03:28 | 000,155,648 | ---- | C] () -- C:\WINDOWS\GER_SUP.DLL
[2006/10/27 15:03:28 | 000,155,648 | ---- | C] () -- C:\WINDOWS\FRE_SUP.DLL
[2006/10/27 15:03:28 | 000,155,136 | ---- | C] () -- C:\WINDOWS\SPA_SUP.DLL
[2006/10/27 15:03:28 | 000,155,136 | ---- | C] () -- C:\WINDOWS\POR_SUP.DLL
[2006/10/27 15:03:28 | 000,155,136 | ---- | C] () -- C:\WINDOWS\ITA_SUP.DLL
[2006/10/27 15:03:28 | 000,155,136 | ---- | C] () -- C:\WINDOWS\DUT_SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\UK__SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\SWE_SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\NOR_SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\FIN_SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\ENG_SUP.DLL
[2006/10/27 15:03:28 | 000,153,088 | ---- | C] () -- C:\WINDOWS\DAN_SUP.DLL
[2006/10/27 15:03:28 | 000,144,896 | ---- | C] () -- C:\WINDOWS\CHT_SUP.DLL
[2006/10/27 15:03:28 | 000,007,267 | ---- | C] () -- C:\WINDOWS\LANGUAGE.INI
[2006/10/27 14:58:33 | 000,000,120 | ---- | C] () -- C:\WINDOWS\01winver.ini
[2006/10/27 07:21:32 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006/10/27 07:21:31 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2006/10/27 07:21:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2006/10/27 05:34:17 | 045,466,656 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2006/10/27 05:34:17 | 004,322,336 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2006/10/26 15:37:23 | 000,000,146 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006/09/25 09:18:09 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006/09/25 09:17:10 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2006/09/25 09:16:18 | 000,000,411 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006/09/25 00:37:43 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006/09/25 00:29:25 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006/09/25 00:29:25 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006/09/25 00:29:25 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006/09/25 00:29:25 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006/09/25 00:29:25 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006/09/25 00:29:25 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006/09/25 00:28:42 | 000,040,448 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2006/09/25 00:25:12 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2004/08/09 02:20:34 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/08/09 02:05:00 | 000,391,330 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/09 02:05:00 | 000,380,486 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/09 02:05:00 | 000,063,778 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/09 02:05:00 | 000,052,900 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/09 02:01:16 | 000,163,528 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/08/09 01:54:14 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/08/09 01:49:14 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/03 22:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/03 22:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/03 22:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/03 22:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/03 22:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/03 22:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/03 22:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/03 22:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/03 22:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/03 22:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002/05/28 04:55:42 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/05/28 04:54:40 | 000,004,605 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2008/09/13 10:12:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AutoTransfer
[2008/02/27 14:45:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BMDNTCS
[2012/05/13 05:53:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cqreytbvmnl
[2012/05/13 06:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cvixylrjwgn
[2011/06/20 12:04:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\EurekaLog
[2012/05/13 05:14:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Fpnjygr
[2011/05/22 05:05:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HappyFoto
[2006/12/24 09:48:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterVideo
[2011/04/28 13:02:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mquadr.at
[2010/12/31 05:17:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MSNInstaller
[2012/05/01 10:17:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PriceGong
[2009/02/11 17:10:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2011/06/20 17:23:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2012/05/13 05:38:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vldcuboke
[2008/02/27 14:45:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BMDNTCS
[2010/12/05 13:44:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HappyFoto-Designer
[2009/04/09 02:57:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
[2009/04/09 02:56:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
[2011/04/28 13:02:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\m2backup
[2011/04/28 13:02:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2010/12/26 04:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Photo Notifier and Animation Creator
[2010/09/03 13:24:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhotoMail
[2011/06/20 11:27:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{AD02613D-9F0A-4B4D-B9BC-FCCB6959A31F}
[2011/06/20 11:26:59 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D6B1976C-D59B-4881-8378-7F29FE0A2822}
[2010/05/14 09:37:49 | 000,000,538 | ---- | M] () -- C:\WINDOWS\Tasks\Install.job
[2009/09/02 08:59:27 | 000,000,680 | ---- | M] () -- C:\WINDOWS\Tasks\NSSstub.job
[2012/05/16 11:33:13 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
< End of report >
Extras.txt
Code:
OTL Extras logfile created on: 5/16/2012 7:54:43 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
958.00 Mb Total Physical Memory | 753.00 Mb Available Physical Memory | 79.00% Memory free
858.00 Mb Paging File | 771.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 106.72 Gb Free Space | 71.60% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
"" =
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\aon\aonController\aonController.exe" = C:\Programme\aon\aonController\aonController.exe:*:Enabled:aonController
"C:\Programme\aon\aonInstaller\aonInstaller.exe" = C:\Programme\aon\aonInstaller\aonInstaller.exe:*:Enabled:aonInstaller
"C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Programme\IncrediMail\bin\ImApp.exe" = C:\Programme\IncrediMail\bin\ImApp.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Programme\aon\aonController\TA_ControllerUpdate.exe" = C:\Programme\aon\aonController\TA_ControllerUpdate.exe:*:Enabled:Controller Update -- (mquadr.at software engeneering & consulting GmbH)
"C:\Programme\A1 Telekom Austria\Controller\ControllerCMDTool.exe" = C:\Programme\A1 Telekom Austria\Controller\ControllerCMDTool.exe:*:Enabled:Controller CMDTool -- (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
"C:\Programme\A1 Telekom Austria\Controller\Modemkonfigurator.exe" = C:\Programme\A1 Telekom Austria\Controller\Modemkonfigurator.exe:*:Enabled:A1 Telekom Austria Internet-Modemkonfigurator -- (mquadr.at software engineering, web: hxxp://www.mquadr.at, mail: office@mquadr.at)
"C:\Programme\A1 Telekom Austria\Controller\ControllerMailboxen.exe" = C:\Programme\A1 Telekom Austria\Controller\ControllerMailboxen.exe:*:Enabled:Controller Mailboxen -- (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
"C:\Programme\A1 Telekom Austria\Breitband-Internet-Installation\fixnet installer\Installer.exe" = C:\Programme\A1 Telekom Austria\Breitband-Internet-Installation\fixnet installer\Installer.exe:*:Enabled:Highspeed-Internet-Installation -- (mquadr.at software engineering & consulting GmbH - Web: hxxp://www.mquadr.at - Mail: office@mquadr.at)
"C:\Programme\A1 Telekom Austria\Controller\Controller.exe" = C:\Programme\A1 Telekom Austria\Controller\Controller.exe:*:Enabled:Controller -- (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""Die abenteuerliche Suche nach Ponkine"" = "Die abenteuerliche Suche nach Ponkine"
""Ponky gezielt Deutsch 1+2"" = "Ponky gezielt Deutsch 1+2"
""Ponky gezielt Mathe 1+2"" = "Ponky gezielt Mathe 1+2"
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{058B32E2-6310-4359-B2D4-1988390C3B83}" = Broadcom Management Programs
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung
"{10798AE3-DCBB-43C3-9C93-C23512427E25}" = Die Sims Deluxe
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18AEB406-A211-415B-8A71-BDE6CBDD734C}" = OLYMPUS Studio 2
"{1ED31028-6D65-4CFD-AD03-8E484A052FE7}" = aonUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{291A06BB-7145-443F-9257-8913A928BD40}" = Controller
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3A1AB8E6-748E-4B95-AA2D-FE9952EB3106}" = OLYMPUS Master 2
"{3F7A9E82-5A85-4119-A8A5-7D840A0F76DC}" = Photo Notifier and Animation Creator
"{6B7FB3C4-E71B-478D-9E15-5AE97EAD67B8}" = aonFTP
"{6CF47FD1-3CF8-4206-BA24-A2B1E43D8CCA}" = IncrediMail
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{75193929-9A52-4CA4-98DE-8C7296940920}" = Kaspersky Anti-Virus 6.0
"{75AE8014-1184-4BC0-B279-C879540719EE}" = PhotoMail Maker
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A5937EB-2FA7-4B72-B537-FF42E799F2C2}" = aonMessageCenter
"{9A63E0AB-77A4-4D7E-8BC1-981E91EF2E9A}" = Wild Creatures Demo
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support
"{AAC4426A-42CD-4B4E-8057-9738C96F2C8F}" = HP Safety and Comfort Guide
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{B715FDF2-C818-4B4A-ADAB-DD650BA3AEE8}" = aonModemkonfigurator
"{BAB4AAD2-93A4-11D4-A165-00508B67A692}" = Client
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{DAB93AAF-0FCC-4023-AE84-F20C16DCC171}" = In 80 Tagen um die Welt
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"1A6754C019F3AE544C346226BB63AC9BC7DACCDE" = Windows-Treiberpaket - OLYMPUS IMAGING CORP. (OlyUsbCam) OlyUsbCam  (12/28/2006 1.0.0.0)
"2CFDDBA03CBE225A1FA2032FE06674F0AF0549D0" = Windows-Treiberpaket - OLYMPUS IMAGING CORP. (OlyFirCam) OlyFirCam  (06/28/2007 2.2.0.0)
"Adobe Acrobat 4.0" = Adobe Acrobat 4.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"aonFTP" = aonFTP
"aonMessageCenter" = aonMessageCenter
"aonModemkonfigurator" = aonModemkonfigurator
"aonUpdate" = aonUpdate
"ATI Display Driver" = ATI Display Driver
"Budenberg Demo_is1" = Budenberg Software Demo 5/09
"CCleaner" = CCleaner
"Controller" = Controller
"Crazy Designer" = Crazy Designer
"ElsaNetDialer" = ELSAnet - the web side of life
"Fotobuch" = Fotobuch 3.02
"Google Chrome" = Google Chrome
"HappyFoto-Designer_is1" = HappyFoto-Designer 2.7
"HF_Bestellassistent" = HappyFoto Bestellassistent (nur entfernen)
"hp deskjet 845c series" = hp deskjet 845c series (nur entfernen)
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"IncrediMail" = IncrediMail 2.0
"IncrediMail_MediaBar_2 Toolbar" = IncrediMail MediaBar 2 Toolbar
"IncrediMail_MediaBar_Deutsch_2 Toolbar" = IncrediMail MediaBar Deutsch 2 Toolbar
"InstallWIX_{75193929-9A52-4CA4-98DE-8C7296940920}" = Kaspersky Anti-Virus 6.0
"MahJongg" = MahJongg
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Thunderbird (3.1.12)" = Mozilla Thunderbird (3.1.12)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NSS" = Norton Security Scan
"Ocean Mahjongg_is1" = Ocean Mahjongg
"Photo Notifier and Animation Creator" = Photo Notifier and Animation Creator
"PhotoMail" = PhotoMail Maker
"Print Artist 8" = SierraHome Print Artist 8
"QuickTime" = QuickTime
"Software Setup" = Software Setup
"Solitaire Setup" = Solitaire Setup
"Tivola Maus 3" = Tivola Maus 3
"Uhrzeittrainer 2010" = Uhrzeittras 3
"Windows XP Service Pack" = Windows XP Service Pack 3
"XP-Games JRE" = XP-Games JRE
"XP-Spiele Pacman Clown" = XP-Spiele Pacman Clown
"ZahlenPuzzle" = ZahlenPuzzle
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"HappyFoto - Bestellassistent" = HappyFoto - Bestellassistent
 
< End of report >
Herzlichen Dank für die Hilfe im Voraus.

Chris4You 16.05.2012 15:58
Hi,

ob der Rechner die Bereinigung überlebt...
Sehen wir mal. Weiterhin gibt es eine neue Variante, die mit den jetzt zur Verfügung stehenden Entschlüsselungstool nicht mehr entschlüsselt werden kann... (siehe diese Seite oben)...

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
O4 - HKU\Administrator_ON_C..\Run: [79F70225] C:\WINDOWS\system32\B1CF76A379F70225737A.exe (Корпорация Майкрософт)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\B1CF76A379F70225737A.exe) - C:\WINDOWS\system32\B1CF76A379F70225737A.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2BA010ED79F7022503DE.exe) - C:\WINDOWS\system32\2BA010ED79F7022503DE.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\595BE9F279F7022571C4.exe) - C:\WINDOWS\system32\595BE9F279F7022571C4.exe (Корпорация Майкрософт)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\8577721E79F70225F895.exe) - C:\WINDOWS\system32\8577721E79F70225F895.exe (Корпорация Майкрософт)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/13 06:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cvixylrjwgn
[2012/05/13 06:32:17 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\8577721E79F70225F895.exe
[2012/05/13 05:53:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cqreytbvmnl
[2012/05/13 05:53:23 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\595BE9F279F7022571C4.exe
[2012/05/13 05:38:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vldcuboke
[2012/05/13 05:38:19 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\2BA010ED79F7022503DE.exe
[2012/05/13 05:14:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Fpnjygr
[2012/05/13 05:13:10 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\B1CF76A379F70225737A.exe
[2012/05/13 06:32:17 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\8577721E79F70225F895.exe
[2012/05/13 05:53:23 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\595BE9F279F7022571C4.exe
[2012/05/13 05:38:19 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\2BA010ED79F7022503DE.exe
[2012/05/13 05:13:10 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\B1CF76A379F70225737A.exe
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/13 05:15:25 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

CobraOne 18.05.2012 14:00
Danke Chris4You für deine Hilfe.

Auf "C:\_OTL" befand sich keine Datei aber im Unterordner "MovedFiles".
Diese habe ich gepostet.

Der Fix von dir hat wunderbar funktioniert.
Starten im abgesicherten Modus ist zwar nach wie vor nicht möglich, keine Ahnung warum, aber wenn dieser Modus ausgeführt wird, rebootet der PC automatisch neu.

Da bei diesem PC keine Internetverbindung zur Verfügung steht wurde Malwarebytes von mir manuell abgedatet (Datei mbam-rules runtergeladen und gestartet).

Hier nun die Logdateien:

OTLPE
Code:
========== OTL ==========
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\79F70225 deleted successfully.
C:\WINDOWS\system32\B1CF76A379F70225737A.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\B1CF76A379F70225737A.exe deleted successfully.
File C:\WINDOWS\system32\B1CF76A379F70225737A.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\2BA010ED79F7022503DE.exe deleted successfully.
C:\WINDOWS\system32\2BA010ED79F7022503DE.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\595BE9F279F7022571C4.exe deleted successfully.
C:\WINDOWS\system32\595BE9F279F7022571C4.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\8577721E79F70225F895.exe deleted successfully.
C:\WINDOWS\system32\8577721E79F70225F895.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cvixylrjwgn folder moved successfully.
File C:\WINDOWS\System32\8577721E79F70225F895.exe not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cqreytbvmnl folder moved successfully.
File C:\WINDOWS\System32\595BE9F279F7022571C4.exe not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vldcuboke folder moved successfully.
File C:\WINDOWS\System32\2BA010ED79F7022503DE.exe not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Fpnjygr folder moved successfully.
File C:\WINDOWS\System32\B1CF76A379F70225737A.exe not found.
File C:\WINDOWS\System32\8577721E79F70225F895.exe not found.
File C:\WINDOWS\System32\595BE9F279F7022571C4.exe not found.
File C:\WINDOWS\System32\2BA010ED79F7022503DE.exe not found.
File C:\WINDOWS\System32\B1CF76A379F70225737A.exe not found.
C:\WINDOWS\system32\winsh325 moved successfully.
C:\WINDOWS\system32\winsh324 moved successfully.
C:\WINDOWS\system32\winsh323 moved successfully.
C:\WINDOWS\system32\winsh322 moved successfully.
C:\WINDOWS\system32\winsh321 moved successfully.
C:\WINDOWS\system32\winsh320 moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 1102824394 bytes
->Temporary Internet Files folder emptied: 371734804 bytes
->Java cache emptied: 13834458 bytes
->FireFox cache emptied: 403822765 bytes
->Google Chrome cache emptied: 6198336 bytes
->Flash cache emptied: 1984521 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11059407 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60510143 bytes
 
Total Files Cleaned = 1,883.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05182012_011053
MBRLOG:
Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: PC [Administrator]

Schutz: Aktiviert

18.05.2012 22:46:10
mbam-log-2012-05-18 (23-43-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 328020
Laufzeit: 55 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\game.exe (Worm.AutoRun) -> Keine Aktion durchgeführt.

(Ende)
Ich hoffe diese Logfiles helfen dir weiter und dass wir uns auf einen guten Weg befinden.

LG

Chris4You 22.05.2012 17:01
Hi,

Mist, das Teil ist neu, MAM hat es nicht erkannt...
Bitte das Verzeichnis C:\_OTL\MovedFiles packen und wie folgt hier hochladen (den Anweisungen dort folgen):

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort

Danach bitte noch das hier:
Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

Sollte SASW nur Cookies finden, dann bitte mit der Entschlüsselung beginnen...

chris

CobraOne 23.05.2012 14:54
Hallo Chris4You,

den Ordner mit den Dateien habe ich gezippt und hochgeladen.


Hier das Logfile von SuperAntiSpyWare (Programm wurde da keine Onlineverbindung vorhanden manuell mit mit Updatedatei aktualisiert).

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/23/2012 at 10:23 PM

Application Version : 5.0.1150

Core Rules Database Version : 8635
Trace Rules Database Version: 6447

Scan type      : Complete Scan
Total Scan Time : 01:17:36

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 490
Memory threats detected  : 0
Registry items scanned    : 34142
Registry threats detected : 0
File items scanned        : 106145
File threats detected    : 319

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[1].txt [ /2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.ad-srv[2].txt [ /ad.ad-srv ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adc-serv[2].txt [ /ad.adc-serv ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adc-serv[3].txt [ /ad.adc-serv ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adition[1].txt [ /ad.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adnet[1].txt [ /ad.adnet ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adnet[2].txt [ /ad.adnet ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adserver01[1].txt [ /ad.adserver01 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adworx[2].txt [ /ad.adworx ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[1].txt [ /ad.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt [ /ad.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[3].txt [ /ad.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[1].txt [ /ad.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[2].txt [ /ad.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[3].txt [ /ad.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[4].txt [ /ad.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[5].txt [ /ad.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad1.adfarm1.adition[2].txt [ /ad1.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad1.adfarm1.adition[3].txt [ /ad1.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad1.adfarm1.adition[4].txt [ /ad1.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad1.chefkoch[2].txt [ /ad1.chefkoch ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad2.adfarm1.adition[2].txt [ /ad2.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad2.adfarm1.adition[3].txt [ /ad2.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad2.adfarm1.adition[4].txt [ /ad2.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad3.adfarm1.adition[2].txt [ /ad3.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad4.adfarm1.adition[1].txt [ /ad4.adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adbrite[1].txt [ /adbrite ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adcentriconline[1].txt [ /adcentriconline ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adecn[2].txt [ /adecn ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[1].txt [ /adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[2].txt [ /adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[3].txt [ /adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[5].txt [ /adfarm1.adition ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adform[1].txt [ /adform ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.123recht[1].txt [ /ads.123recht ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.ad4game[1].txt [ /ads.ad4game ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.creative-serving[1].txt [ /ads.creative-serving ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.how-to-do[2].txt [ /ads.how-to-do ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.wwe[1].txt [ /ads.wwe ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads20.wwe-media[1].txt [ /ads20.wwe-media ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads7.wwe[1].txt [ /ads7.wwe ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.cusoon[1].txt [ /adserver.cusoon ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.cusoon[2].txt [ /adserver.cusoon ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.ep-solutions[1].txt [ /adserver.ep-solutions ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.yopi[1].txt [ /adserver.yopi ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adt.traffictrack[2].txt [ /adt.traffictrack ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[1].txt [ /adtech ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[2].txt [ /adtech ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[3].txt [ /adtech ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[4].txt [ /adtech ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adviva[2].txt [ /adviva ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adx.chip[2].txt [ /adx.chip ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt [ /apmebf ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[1].txt [ /atdmt ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@auslieferung.commindo-media-ressourcen[2].txt [ /auslieferung.commindo-media-ressourcen ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt [ /bs.serving-sys ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@collective-media[2].txt [ /collective-media ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[1].txt [ /content.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[2].txt [ /content.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[4].txt [ /content.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[5].txt [ /content.yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@dealtime[1].txt [ /dealtime ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@deutschepostag.112.2o7[1].txt [ /deutschepostag.112.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt [ /doubleclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[3].txt [ /doubleclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wfkyqoajggo.stats.esomniture[1].txt [ /e-2dj6wfkyqoajggo.stats.esomniture ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wjkywlazoko.stats.esomniture[2].txt [ /e-2dj6wjkywlazoko.stats.esomniture ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wjkywpd5ifp.stats.esomniture[2].txt [ /e-2dj6wjkywpd5ifp.stats.esomniture ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@eas.apm.emediate[2].txt [ /eas.apm.emediate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@eas.apm.emediate[3].txt [ /eas.apm.emediate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@eas4.emediate[2].txt [ /eas4.emediate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@edsa.122.2o7[1].txt [ /edsa.122.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@edsa.122.2o7[3].txt [ /edsa.122.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@euros4click[2].txt [ /euros4click ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@family-click.tradoria[2].txt [ /family-click.tradoria ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fastclick[1].txt [ /fastclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fastclick[2].txt [ /fastclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fl01.ct2.comclick[1].txt [ /fl01.ct2.comclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fl01.ct2.comclick[2].txt [ /fl01.ct2.comclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@gostats[1].txt [ /gostats ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@himedia.individuad[2].txt [ /himedia.individuad ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@im.banner.t-online[2].txt [ /im.banner.t-online ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@im.banner.t-online[3].txt [ /im.banner.t-online ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[1].txt [ /in.getclicky ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@lfstmedia[1].txt [ /lfstmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@lfstmedia[3].txt [ /lfstmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@m1.webstats.motigo[1].txt [ /m1.webstats.motigo ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@media.gan-online[2].txt [ /media.gan-online ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@media6degrees[2].txt [ /media6degrees ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediabrandsww[1].txt [ /mediabrandsww ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt [ /mediaplex ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[2].txt [ /mediaplex ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsoftmachinetranslation.112.2o7[1].txt [ /microsoftmachinetranslation.112.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@neckermannde.122.2o7[1].txt [ /neckermannde.122.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@nextag[1].txt [ /nextag ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@parship.122.2o7[1].txt [ /parship.122.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@paypal.112.2o7[1].txt [ /paypal.112.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@poobieseuropebv.solution.weborama[2].txt [ /poobieseuropebv.solution.weborama ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@revsci[2].txt [ /revsci ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ru4[2].txt [ /ru4 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@secmedia[1].txt [ /secmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@secmedia[2].txt [ /secmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@server.cpmstar[2].txt [ /server.cpmstar ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt [ /serving-sys ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@shopping.112.2o7[1].txt [ /shopping.112.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@smartadserver[1].txt [ /smartadserver ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@smartadserver[2].txt [ /smartadserver ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@specificclick[2].txt [ /specificclick ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stat.aldi[1].txt [ /stat.aldi ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stat.dealtime[2].txt [ /stat.dealtime ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statcounter[2].txt [ /statcounter ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats.stada[2].txt [ /stats.stada ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statse.webtrendslive[2].txt [ /statse.webtrendslive ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@toplist[1].txt [ /toplist ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@track.adform[2].txt [ /track.adform ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@track.effiliation[1].txt [ /track.effiliation ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@track.effiliation[3].txt [ /track.effiliation ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@track.funpic[2].txt [ /track.funpic ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.hannoversche[2].txt [ /tracking.hannoversche ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.mindshare[2].txt [ /tracking.mindshare ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.mlsat02[2].txt [ /tracking.mlsat02 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.quisma[1].txt [ /tracking.quisma ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.quisma[2].txt [ /tracking.quisma ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[1].txt [ /tradedoubler ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[3].txt [ /tradedoubler ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[4].txt [ /tradedoubler ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[1].txt [ /traffictrack ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[3].txt [ /traffictrack ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[4].txt [ /traffictrack ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tto2.traffictrack[1].txt [ /tto2.traffictrack ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@urbia.wwe-media[2].txt [ /urbia.wwe-media ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@user.lucidmedia[1].txt [ /user.lucidmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[2].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[3].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[4].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[5].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[6].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[7].txt [ /webmasterplan ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@weborama[1].txt [ /weborama ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@wlw.122.2o7[1].txt [ /wlw.122.2o7 ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ww251.smartadserver[1].txt [ /ww251.smartadserver ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ww251.smartadserver[2].txt [ /ww251.smartadserver ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.burstnet[1].txt [ /www.burstnet ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.etracker[2].txt [ /www.etracker ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.googleadservices[1].txt [ /www.googleadservices ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.googleadservices[2].txt [ /www.googleadservices ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.googleadservices[4].txt [ /www.googleadservices ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.googleadservices[6].txt [ /www.googleadservices ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[1].txt [ /www.zanox-affiliate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[3].txt [ /www.zanox-affiliate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xiti[1].txt [ /xiti ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xiti[2].txt [ /xiti ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xm.xtendmedia[2].txt [ /xm.xtendmedia ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yieldmanager[1].txt [ /yieldmanager ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox-affiliate[2].txt [ /zanox-affiliate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox-affiliate[3].txt [ /zanox-affiliate ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[1].txt [ /zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[2].txt [ /zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[3].txt [ /zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[5].txt [ /zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[6].txt [ /zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zbox.zanox[1].txt [ /zbox.zanox ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zedo[1].txt [ /zedo ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zedo[2].txt [ /zedo ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\LOUQ2AM4.txt [ /atdmt.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\NN0Y7A9R.txt [ /apmebf.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\A9VFW9JF.txt [ /api10.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\WS3B7254.txt [ /api25.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\RW8TB8J2.txt [ /doubleclick.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\D30PGZJA.txt [ /serving-sys.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\UK09L7E9.txt [ /mediaplex.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\K7OIUDVG.txt [ /ww251.smartadserver.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\V6D0FBBA.txt [ /smartadserver.com ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\GBVV0WXK.txt [ /api15.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\4MZXCKPL.txt [ /api6.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\6EG5IM4A.txt [ /api20.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\38LL1N7Z.txt [ /api19.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\WLIS0C7O.txt [ /www.etracker.de ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\6PQC2A49.txt [ /api21.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\4OQ2IDO0.txt [ /thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\X4LBLQQJ.txt [ /api18.thetrafficstat.net ]
        C:\Dokumente und Einstellungen\Administrator\Cookies\HUTQ2SEJ.txt [ /api26.thetrafficstat.net ]
        .doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.findmyhome.at [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .apmebf.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        server.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        server.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        ad4.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        ad2.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        ad1.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .statcounter.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        track.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        track.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]
        .adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BJD6IF74.DEFAULT\COOKIES.SQLITE ]

Trojan.Dropper/Game
        C:\BMD\BIN\WAREN\TRANSFER\BMDBATCH.DLL
        C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\ALTE PLATTE\1\BMD\BIN\BMDBATCH.DLL

Trojan.Agent/Gen-FakeAlert
        C:\BUDEMO\ABRUNDEN.EXE
        C:\BUDEMO\AEHNLICH.EXE
        C:\BUDEMO\ANLAUT.EXE
        C:\BUDEMO\BEGRIFF.EXE
        C:\BUDEMO\BILDBILD.EXE
        C:\BUDEMO\BILDSCHR.EXE
        C:\BUDEMO\BILDWORT.EXE
        C:\BUDEMO\BOGEN.EXE
        C:\BUDEMO\BRD.EXE
        C:\BUDEMO\BRUCHRE.EXE
        C:\BUDEMO\BUCHSTAB.EXE
        C:\BUDEMO\BUCHSTW.EXE
        C:\BUDEMO\DELDATUM.EXE
        C:\BUDEMO\DEZIMAL.EXE
        C:\BUDEMO\DOPPELT.EXE
        C:\BUDEMO\EINMAL.EXE
        C:\BUDEMO\ERSTLES.EXE
        C:\BUDEMO\EURO.EXE
        C:\BUDEMO\FABELN.EXE
        C:\BUDEMO\FORM.EXE
        C:\BUDEMO\GELD.EXE
        C:\BUDEMO\GELDC.EXE
        C:\BUDEMO\GEOMET1.EXE
        C:\BUDEMO\GEOMET2.EXE
        C:\BUDEMO\GEOMET3.EXE
        C:\BUDEMO\GLEICH.EXE
        C:\BUDEMO\GRZAHLEN.EXE
        C:\BUDEMO\HALBSCHR.EXE
        C:\BUDEMO\HUNDERT.EXE
        C:\BUDEMO\INFO.EXE
        C:\BUDEMO\KEGEL.EXE
        C:\BUDEMO\KRAN.EXE
        C:\BUDEMO\KREUZW.EXE
        C:\BUDEMO\KUGEL.EXE
        C:\BUDEMO\LESETR.EXE
        C:\BUDEMO\MASSE.EXE
        C:\BUDEMO\PARTNER.EXE
        C:\BUDEMO\PROZENT.EXE
        C:\BUDEMO\RAETSEL.EXE
        C:\BUDEMO\RECHMIX.EXE
        C:\BUDEMO\RICHTUNG.EXE
        C:\BUDEMO\RSCHREIB.EXE
        C:\BUDEMO\SATZBAU.EXE
        C:\BUDEMO\SATZGLI.EXE
        C:\BUDEMO\SILBENW.EXE
        C:\BUDEMO\SILBLES.EXE
        C:\BUDEMO\SRECHNEN.EXE
        C:\BUDEMO\TEILEN.EXE
        C:\BUDEMO\TEXTAUFG.EXE
        C:\BUDEMO\TEXTFRAG.EXE
        C:\BUDEMO\TEXTGLI.EXE
        C:\BUDEMO\TEXTSCHR.EXE
        C:\BUDEMO\TRAINER.EXE
        C:\BUDEMO\TUTOR.EXE
        C:\BUDEMO\UHR.EXE
        C:\BUDEMO\VERGLEI.EXE
        C:\BUDEMO\VERKEHR.EXE
        C:\BUDEMO\WDIKTAT.EXE
        C:\BUDEMO\ZAHLBILD.EXE
        C:\BUDEMO\WORTART.EXE
        C:\BUDEMO\WORTRA.EXE
        C:\BUDEMO\WSUCHEN.EXE
        C:\BUDEMO\ZAHLENRA.EXE
        C:\BUDEMO\ZBUENDEL.EXE
        C:\BUDEMO\ZEHNEIN.EXE
        C:\BUDEMO\ZEHNUEB.EXE
        C:\BUDEMO\ZERLEGEN.EXE
        C:\BUDEMO\ZMASSE.EXE
        C:\BUDEMO\ZRAUM20.EXE
        C:\BUDEMO\ZREIHE.EXE
        C:\BUDEMO\ZSTRAHL.EXE
        C:\BUDEMO\ZWEITLES.EXE

Trojan.Agent/Gen-Krpytik
        C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\ALTE PLATTE\1\01COMM32\BIN\INSTFAX.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\ALTE PLATTE\1\01COMM32\BIN\PRINTD32.DLL
        C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\ALTE PLATTE\1\01COMM32\BIN\WSCANI32.DLL

Trojan.Agent/Gen-Nullo[Short]
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{57A6823A-1951-404C-9B13-3C57FE463739}\RP1\A0015010.EXE
Beim "Trojan.Dropper/Game" bin ich mir nicht sicher ob diese Datei gelöscht gehört, da dies zu einer Bürosoftware gehört die mit SAP vergleichbar ist.

Die anderen Dateien werden nicht mehr benötigt.

Noch eine Frage:
Ich bin bis jetzt noch über keine verschlüsselte Datei gestolpert.
Wie kann nach diesen verschlüsselten Dateien suchen?
Werden die mit einer bestimmten Dateiendung versehen und wenn ja, welche?

Danke und LG!

Chris4You 24.05.2012 06:47
Hi,

je nach Variante sieht das u. U. so aus :
locked-File.EnfReg.[/b]ymyc
Sind aber mehrere unterschiedliche Varianten im Umlauf...

Wenn Du Dir nicht sicher bist, die Dateien bei Virustotal.com prüfen lassen (bevor Du sie löscht)...

b]Dateien Online überprüfen lassen
  • Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
-> Deine Dateien
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danke fürs Hochladen.... Den Ordner [b]C:\_OTL\MovedFiles[b] dann löschen...

chris

Chris4You 24.05.2012 15:42
Hi,

ACHTUNG:
Entgegen der vorangegangen Anweisung folgendes Beachten:
Die in C:\windows\system32 abgelegte Kopie auf keinen Fall löschen ([b]d.h. das Verzeichnis C:\_OLT\MovedFiles nicht löschen (eher in einer Passwortgesicherten Datei sichern, falls ein Scanner sie erkennt und löscht)!
Mit hoher Wahrscheinlichkeit braucht man die Datei zur Entschlüsselung der verschlüsselten Daten...
(Analysen laufen)...

chris

CobraOne 24.05.2012 18:23
Hi Chris4You,

habe im Explorer alle Dateien (inkl. geschütze Systemdateien und vesteckte Dateien) anzeigen lassen und nach Dateien gesucht die im Dateinamen ein "lock" enthalten.

Es wurden keine Dateien gefunden die als verschlüsselt angesehen werden können, sondern solche wie zB. clock.avi, popup_blocked.ico, usw.

Kann es sein, daß der Trojaner glücklicherweise keine Dateien verschlüsselt hat?

Die Onlineüberprüfung via Virustotal würde etwas schwer fallen, da ich keine verschlüsselte Dateien erkennen kann und somit den ganzen Inhalt der Festplatte überprüfen lassen müsste.

Kann ich damit beginnen die wichtigen Daten auf eine externe Platte zu sichern und das System neu installieren?

LG

Chris4You 24.05.2012 19:25
Hi,

meines Erachtens: Ja...

chris ;o)

CobraOne 24.05.2012 19:34
Super! :singsing:

Herzlichen Dank für Deine Hilfe! :daumenhoc

LG


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19