Trojaner-Board - Windows Verschlüsselungstrojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Verschlüsselungstrojaner - System startet nicht- (https://www.trojaner-board.de/119416-windows-verschluesselungstrojaner-system-startet.html)

Windows Verschlüsselungstrojaner - System startet nicht-

Guten Abend zusammen,

nun hat es mich auch erwischt. Ich habe eine Email erhalten mit einer Zahlungsaufforderung. Die Betreffzeile enthielt einen meiner Nicknames. Ich habe dann die in der Mail angegebene Seite aufgerufen und kurze Zeit später sah ich dasselbe "Erpressungsbild" wie hier auf Eurer Seite neben dem Text "Vorgehen beim Verschlüsselungstrojaner". (http://www.trojaner-board.de/115183-...te-umlauf.html) Der Laptop (Sony Vaio Modell PCG-4K1M Vista vorinstalliert auf Windows XP Home downgegradet) lässt sich normal starten udn zeigt nach dem kurzen aufblitzen des Desktops nur noch dieses leidige Bild. Über google kam ich dann auf diese Seite: hxxp://www.tutsi.de/sie-haben-sich-mit-einem-windows-verschluesselungs-trojaner-infiziert/2012/04/26/tutsi-blog-aktuell/ zunächst habe ich versucht die von Kaspersky angebotene Notfall CD zu brennen. Die gebrannte CD löst nur einen kleinen blinkenden Cursor auf einem ansonsten rein schwarzen Bildschirm aus. Sonst passiert nichts ich komme erst gar nicht bis zu den weiteren Schritten. Danach habe ich die weiteren Kommentare gelesen und fand die Aussage von "Markus" vom 12. Mai 2012 der mich an dieses Forum verwiesen hat. Dann habe ich hier etliche Beiträge gelesen und mir dann Euren Rat zu Herzen genommen nichts weiter zu probieren sondern das Problem zu posten.
Leider kann ich keine der gewünschten Dateiinformationen beifügen da ich bis auf dieses blöde Bild keinen Zugriff auf mein System habe. Ich sitze gerade an unserem Datev DB Rechner und trau mich nicht diese email zu bearbeiten. Hatte Sie nach dem lesen und downloaden der zip.datei (die ich dann aber nicht geöffnet habe) in den JunkMail Ordner verschoben und nun kann ich sie weder weiterleiten noch speichern... (Hotmail Account)
Die email kam von einer Stinknormalen Web.de Adresse und ich habe den Absendernamen vorher noch gegoogelt. Keine Infos über den Typen zu finden. (das war glaube ich magnus.thamsen@web.de)
Ich hoffe, ihr könnt mir helfen. Ist das Firmenlaptop. Die letzte Datensicherung ist gott sei dank nicht lang her aber ich kann nicht alle Daten reproduzieren.

Dabei war Freitag der 13. bisher immer mein Glückstag :-(

Liebe Grüße
sandra

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Hallo Cosinus,

vielen lieben Dank für deine Antwort.. das funktioniert jedoch nicht. Habe ich schon probiert. Egal mit welchem abgesicherten Modus das einzige was passiert ist, dass das System neustartet. Ich komme dann direkt in das Auswahlfenster aber das wars...

Auch das herstellen der zuletzt funktionierenden Konfiguration geht nicht..

In meinem Emailaccount habe ich nun noch zwei weitere Mails die mir verdächtig nach diesem Virus aussehen... aber ich kriege sie da nicht raus. Also weder gespeichert noch weitergeleitet... (Hotmail-Account)

@all mache ich hier irgendwas verkehrt oder warum antwortet nur einer??

Ich habe jetzt eine externe Platte organisiert. Werde meinen DB Rechner Komplett sichern und dann die Platte aus dem Notebook ausbauen und in diesen Rechner hängen. Dann kann ich meine 3 wichtigen Dateien retten und mal gucken wie ich die dann entschlüsselt kriege.
Mache dann das Notebook komplett platt und installier die kiste neu..

Liebe Grüße
Sandra

okay klappt nicht mit dem Umbau der Platte... also warte ich jetzt doch nochmal etwas ab...

*Geduld ist gerade nicht meine Stärke*

Zitat:

*Geduld ist gerade nicht meine Stärke*

Dann bist du in einem Forum definitiv falsch!

entschuldige bitte Cosinus

ich muss ganz ehrlich gestehen, ich war noch nie in einem solchem Forum und hatte bis vor einer halben Stunde auch keine Ahnung wie das hier so wirklich läuft.
jetzt habe ich hier diesen blöden Virus und weiß einfach nicht weiter. Bin gerade sehr ungeduldig und hatte keine Ahnung wie lange es dauert sowas zu lösen. Bzw. wie ich da am besten vorgehen soll.

Natürlich habe ich vorher hier einiges gelesen und auch diese Hinweis Seite... Aber verstanden habe ich es erst so richtig nach einem Telefonat mit meinem Chef und einer Freundin.

Die haben mir beide erklärt dass dies hier genau der richtige Platz ist und vorallem meiner Freundin wurde hier schon sehr sehr gut weitergeholfen und das ich doch bitte schön mal etwas Geduld haben soll weil ihr hier alle Eure Freizeit investiert und das "mal so eben nebenbei" macht.

Es tut mir sehr leid wenn ich hier mit meiner Ungeduld falsch reagiert habe. Ich bin ja froh das sich hier die Möglichkeit ergibt und bin sehr dankbar dass du dir mein Problem angeschaut hast und bereit warst mir zu helfen.

Mein Beitrag sollte nicht undankbar erscheinen... bin eher ziemlich verzweifelt gerade.. und hoffe das du trotz allem noch bereit bist mir weiterzuhelfen...

Ich werde keine weiteren Schritte in Eigenregie unternehmen (ich bin mit meinem Latein auch sowieso bereits am Ende)

Wo genau soll ich denn jetzt noch weiterhelfen? Du willst die Kiste eh plattmachen
Sry wenn man dir helfen soll, dann musst du auch deine Fragen und Wünsche konkretisieren wir sind nämlich keine :glaskugel:
Hättest du im ersten Posting schon auf den abgesicherten Modus hingewiesen dass der nicht geht, hätte ich das ebenfalls nicht erst nachfragen müssen :pfeiff:

Wenn es irgendwie möglich ist würde ich gern diesen Trojaner entfernen und meinen Laptop nutzen ohne dass ich ihn neu aufsetzen muss. Das war nur die letzte Möglichkeit die mir noch eingefallen ist. Eine Frust-Notlösung quasi. :confused:

Sachstand wie im ersten Beitrag:

Rechner startet "normal" wobei der Start nach der automatischen Anmeldung ( ich habe kein Login Passwort) mit dem Bild des Trojaners endet. Danach keine weitere "Aktion" mehr möglich. Abgesicherter Modus funktioniert nicht. Zuletzt bekannte Konfiguration auch nicht. Eingefangen habe ich mir den Blödsinn durch eine Zip Datei in einer Mail die ich dumme Nuss heruntergeladen habe :headbang:
habe noch zwei weitere emails kann sie weder weiterleiten noch speichern da Hotmail Account.
Welche Informationen benötigst du?

Das ist doch mal was! :daumenhoc

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

das hat schonmal geklappt... super ...
aber ich habe nur die OTL.txt die Extras.txt ist nicht da...

hier der Inhalt der OTL.txtOTL Logfile:

Code:

OTL logfile created on: 7/16/2012 12:28:51 AM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 83.00% Memory free

1.00 Gb Paging File | 1.00 Gb Available in Paging File | 96.00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 65.22 Gb Total Space | 41.78 Gb Free Space | 64.07% Space Free | Partition Type: NTFS

Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet003

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand] --  -- (AppMgmt)

SRV - [2012/07/11 15:59:01 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2012/06/21 06:15:32 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2011/07/20 00:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)

SRV - [2006/10/31 17:40:16 | 000,077,824 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)

SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

SRV - [2006/04/13 08:36:36 | 000,176,128 | ---- | M] (Sony Corporation) [Auto] -- C:\Programme\Sony\VAIO Event Service\VESMgr.exe -- (VAIO Event Service)

SRV - [2005/04/03 19:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)

SRV - [2003/06/19 18:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)

DRV - File not found [Kernel | System] --  -- (PCIDump)

DRV - File not found [Kernel | System] --  -- (lbrtfdc)

DRV - File not found [Kernel | System] --  -- (i2omgmt)

DRV - File not found [Kernel | On_Demand] --  -- (hwusbdev)

DRV - File not found [Kernel | On_Demand] --  -- (hwdatacard)

DRV - File not found [Kernel | System] --  -- (Changer)

DRV - [2006/11/21 08:57:36 | 000,113,792 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)

DRV - [2006/11/20 12:55:16 | 000,036,480 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)

DRV - [2006/11/02 12:41:00 | 000,053,504 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)

DRV - [2006/10/27 19:29:10 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)

DRV - [2006/10/10 14:33:22 | 000,041,600 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)

DRV - [2006/10/05 11:07:46 | 000,073,600 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)

DRV - [2006/05/09 14:27:00 | 004,273,152 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006/02/28 10:35:56 | 000,013,568 | ---- | M] (Intel Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)

DRV - [2006/02/25 23:43:00 | 001,428,480 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)

DRV - [2006/02/21 15:32:32 | 000,226,304 | ---- | M] (Texas Instruments) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ti21sony.sys -- (ti21sony)

DRV - [2005/10/18 13:53:24 | 000,998,656 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)

DRV - [2005/10/18 13:52:34 | 000,202,112 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)

DRV - [2005/10/18 13:52:30 | 000,721,280 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)

DRV - [2005/08/01 11:45:00 | 000,064,896 | ---- | M] (TOSHIBA Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)

DRV - [2005/07/11 13:58:00 | 000,003,712 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Toshidpt.sys -- (toshidpt)

DRV - [2005/01/06 08:42:42 | 000,018,612 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)

DRV - [2004/11/22 10:31:10 | 000,108,767 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService)

DRV - [2003/08/13 08:33:54 | 000,404,736 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ausens.sys -- (ausens)

DRV - [2002/08/20 08:59:32 | 000,071,961 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SonyPI.sys -- (SPI)

DRV - [2000/12/05 11:18:02 | 000,003,952 | ---- | M] (Sony Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\DMICall.sys -- (DMICall)

DRV - [2000/11/09 16:15:08 | 000,048,896 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SonyNC.sys -- (SNC)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?barid={DFD271E3-C50A-11E1-A3DE-0019C1E776B2}

IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

IE - HKU\Julian_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = 

IE - HKU\Julian_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?barid={DFD271E3-C50A-11E1-A3DE-0019C1E776B2}

IE - HKU\Julian_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKU\Julian_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{000a9d1c-beef-4f90-9363-039d445309b8}: C:\Programme\Google\Google Gears\Firefox\ [2010/03/13 15:09:43 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/06/21 06:15:36 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/12/10 21:22:25 | 000,000,000 | ---D | M]

 

[2011/11/12 13:33:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2012/06/21 06:15:35 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2012/06/21 06:15:27 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012/04/29 06:46:39 | 000,002,310 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml

[2012/06/21 06:15:27 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012/06/21 06:15:27 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012/06/21 06:15:27 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012/06/21 06:15:27 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012/06/21 06:15:27 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2006/02/28 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)

O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Programme\Incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll (Montera Technologeis LTD)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)

O2 - BHO: (Google Gears Helper) - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.)

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Programme\Incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll (Montera Technologeis LTD)

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)

O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)

O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)

O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)

O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)

O4 - HKLM..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe (Sony Corporation)

O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)

O4 - HKU\Julian_ON_C..\Run: [\\NAME-EA04B8400D\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE (SEIKO EPSON CORPORATION)

O4 - HKU\Julian_ON_C..\Run: [A8E33AE8] C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa\pybukzwyn.exe (GreenGlide)

O4 - HKU\Julian_ON_C..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE (SEIKO EPSON CORPORATION)

O4 - HKU\Julian_ON_C..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\Binary\STRAY.EXE (Deutsche Post AG)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra 'Tools' menuitem : &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.)

O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found

O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\WINDOWS\System32\VESWinlogon.dll (Sony Corporation)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007/11/28 11:42:33 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012/07/13 11:54:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa

[2012/07/11 15:58:32 | 009,822,920 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe

[2012/07/09 19:59:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\BabylonToolbar

[2012/07/03 08:30:23 | 000,000,000 | ---D | C] -- C:\Programme\SweetIM

[2012/07/03 08:30:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2012/07/03 08:29:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PDFCreator

[2012/07/03 08:29:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\pdfforge

[2012/07/03 08:29:05 | 000,662,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSCOMCT2.OCX

[2012/07/03 08:29:05 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSMAPI32.OCX

[2012/07/03 08:29:05 | 000,081,408 | ---- | C] (pdfforge GbR) -- C:\WINDOWS\System32\pdfcmon.dll

[2012/07/03 08:29:01 | 000,158,208 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSCMCDE.DLL

[2012/07/03 08:29:01 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VB6DE.DLL

[2012/07/03 08:29:01 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSCC2DE.DLL

[2012/07/03 08:29:01 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSMPIDE.DLL

[2012/07/03 08:29:01 | 000,000,000 | ---D | C] -- C:\Programme\PDFCreator

[2012/07/03 08:28:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Premium

[2012/07/03 08:28:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallMate

[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012/07/15 10:00:52 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2012/07/15 10:00:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012/07/15 10:00:44 | 1600,245,760 | -HS- | M] () -- C:\hiberfil.sys

[2012/07/15 09:58:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2012/07/15 09:52:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2012/07/15 09:18:00 | 000,001,214 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-1993962763-839522115-1004UA.job

[2012/07/15 09:07:48 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012/07/13 10:53:16 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn

[2012/07/13 10:53:16 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for

[2012/07/12 09:22:39 | 000,002,373 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\Google Chrome.lnk

[2012/07/12 09:22:39 | 000,002,351 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

[2012/07/12 04:18:00 | 000,001,162 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-1993962763-839522115-1004Core.job

[2012/07/12 04:00:01 | 000,459,640 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012/07/11 18:25:02 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2012/07/11 15:58:56 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2012/07/11 15:58:55 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2012/07/11 15:58:33 | 009,822,920 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe

[2012/07/03 10:47:41 | 000,046,981 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\NjqltxuLEXdfgyje

[2012/07/03 10:46:36 | 000,045,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\uvEXTVgNjeltJQnaX

[2012/07/03 10:41:05 | 000,285,447 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Eigene Dateien\eDygrUXTLQvtle

[2012/07/03 08:29:26 | 000,000,825 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PDFArchitect.lnk

[2012/07/03 08:29:26 | 000,000,678 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PDFCreator.lnk

[2012/07/03 08:29:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PDFCreator

[2012/07/03 08:24:04 | 002,607,920 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\nusssyggdaaEJv

[2012/07/03 08:18:39 | 000,033,280 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012/06/28 06:00:33 | 000,116,438 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\tspnngddeqyvxxToEN

[2012/06/28 02:11:29 | 000,127,751 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\tnTVUrjqltGQLEpdVg

[2012/06/27 13:58:51 | 000,384,439 | ---- | M] () -- C:\Dokumente und Einstellungen\Julian\Desktop\nJQxlDyrOVppEuJsesA

[2012/06/18 17:14:46 | 000,453,046 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2012/06/18 17:14:46 | 000,436,096 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2012/06/18 17:14:46 | 000,081,826 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2012/06/18 17:14:46 | 000,068,992 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012/07/13 10:53:16 | 000,054,156 | -H-- | C] () -- C:\WINDOWS\QTFont.qfn

[2012/07/13 10:53:16 | 000,001,409 | ---- | C] () -- C:\WINDOWS\QTFont.for

[2012/07/03 08:29:26 | 000,000,825 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PDFArchitect.lnk

[2012/07/03 08:29:26 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PDFCreator.lnk

[2012/02/18 10:04:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2011/11/25 06:44:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat

[2011/09/02 06:16:55 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI

[2011/09/02 06:16:53 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI

[2011/09/02 06:16:12 | 000,000,286 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini

[2011/09/02 06:16:12 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini

[2011/09/02 06:16:12 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat

[2011/09/02 06:13:43 | 000,000,091 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini

[2011/09/02 06:13:39 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll

[2011/04/05 08:09:45 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat

[2011/03/19 17:37:53 | 000,000,190 | ---- | C] () -- C:\WINDOWS\settings.ini

[2011/03/18 14:55:28 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache

[2010/06/11 04:32:50 | 000,024,456 | ---- | C] () -- C:\WINDOWS\System32\TALDM32A.dll

[2010/06/11 04:32:50 | 000,022,920 | ---- | C] () -- C:\WINDOWS\System32\TALDM32.DLL

[2010/06/11 04:32:48 | 000,052,616 | ---- | C] () -- C:\WINDOWS\System32\TAL12832.DLL

[2010/06/11 04:32:38 | 000,255,368 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN3.DLL

[2010/06/11 04:32:38 | 000,042,376 | ---- | C] () -- C:\WINDOWS\System32\SBSPAINT.DLL

[2010/06/11 04:32:36 | 000,050,568 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN2.DLL

[2010/06/11 04:32:32 | 000,075,656 | ---- | C] () -- C:\WINDOWS\System32\ENCODE32.DLL

[2009/11/15 15:38:17 | 000,011,144 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll

[2009/11/15 15:38:17 | 000,007,048 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll

[2009/02/19 16:27:03 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini

[2008/09/19 09:03:57 | 000,000,462 | ---- | C] () -- C:\WINDOWS\System32\CNCMP50.INI

[2008/09/19 09:03:56 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVSya.DLL

[2008/09/19 09:03:55 | 000,000,356 | ---- | C] () -- C:\WINDOWS\System32\CNCASv50.ini

[2008/08/26 07:31:27 | 000,003,999 | ---- | C] () -- C:\WINDOWS\hpdj5700.ini

[2008/08/06 22:29:52 | 000,000,000 | ---- | C] () -- C:\Programme\temp01

[2008/07/18 15:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2008/02/04 14:14:21 | 000,033,280 | ---- | C] () -- C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008/02/01 00:05:08 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\$_hpcst$.hpc

[2008/01/29 23:45:31 | 000,000,477 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2007/12/31 02:12:32 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

[2007/11/28 15:39:12 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat

[2007/11/28 13:14:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI

[2007/11/28 12:46:19 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2007/11/28 12:46:19 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe

[2007/11/28 11:45:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2007/11/28 11:38:34 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2007/11/28 11:26:38 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2007/11/28 11:24:47 | 000,459,640 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2006/10/31 12:37:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll

[2006/08/10 10:00:52 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll

[2006/02/28 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2006/02/28 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2006/02/28 08:00:00 | 000,453,046 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2006/02/28 08:00:00 | 000,436,096 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2006/02/28 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2006/02/28 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2006/02/28 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2006/02/28 08:00:00 | 000,081,826 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2006/02/28 08:00:00 | 000,068,992 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2006/02/28 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2006/02/28 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2006/02/28 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2006/02/28 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2006/02/28 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

[2006/02/28 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[2006/02/28 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2005/07/22 16:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll

 
 ========== LOP Check ==========

 

[2011/03/16 07:45:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\2monkeys

[2012/07/13 12:06:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Abra Academy

[2011/03/16 13:49:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Absolutist

[2011/04/05 08:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Aisle 5 Games, Inc

[2011/04/05 09:59:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Artogon

[2012/07/13 12:06:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Babylon

[2012/07/09 19:59:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\BabylonToolbar

[2011/03/16 14:36:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Boomzap

[2011/03/29 08:06:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\casanova

[2011/01/28 06:15:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\CheckPoint

[2011/04/05 09:40:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Curious Sense

[2012/07/13 12:06:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Desktopicon

[2012/04/28 14:33:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\DVDVideoSoft

[2012/07/13 12:06:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\DVDVideoSoftIEHelpers

[2011/03/31 04:59:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Elephant Games

[2011/03/22 11:31:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Enki Games

[2011/03/22 07:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\ERS Game Studios

[2012/07/13 12:06:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\FileZilla

[2011/03/31 06:24:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Flood Light Games

[2011/03/16 07:55:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\FlyWheelGames

[2011/04/20 12:10:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\GameMill Entertainment

[2012/03/22 05:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Incredibar.com

[2011/03/20 11:45:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\JoyBits

[2011/04/01 12:53:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Meridian93

[2011/03/28 08:31:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Namco

[2010/03/18 17:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Panasonic

[2012/07/03 10:45:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\pdfforge

[2011/03/17 14:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Pirateville

[2007/11/28 12:32:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Protector Suite

[2009/02/26 12:09:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Publish Providers

[2011/04/04 10:53:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\QB9

[2012/07/13 12:15:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\RawShellExtender

[2008/01/23 19:15:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Serif

[2011/04/13 06:44:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Skunk Studios

[2009/02/26 12:21:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Sony

[2008/02/19 22:04:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\SPAMfighter

[2011/03/24 10:39:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Specialbit

[2011/03/28 06:50:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\TikisLab

[2011/03/16 09:23:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\TitanicMystery

[2009/02/19 16:26:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Toolbars

[2011/03/18 10:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Top Evidence

[2011/07/06 05:30:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\TuneUp Software

[2012/07/13 11:54:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa

[2011/07/28 05:57:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\XnView

[2011/07/13 05:32:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software

[2011/03/16 13:49:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Absolutist

[2012/04/29 06:46:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon

[2011/03/16 07:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Big Fish Games

[2012/05/12 04:10:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

[2010/03/16 09:59:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSetup000

[2011/04/05 09:40:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Curious Sense

[2011/02/02 11:50:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON

[2011/03/31 06:24:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games

[2012/07/03 08:29:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallMate

[2010/07/08 11:31:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jtl-software

[2009/11/15 15:50:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky SDK

[2007/11/28 15:39:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

[2011/11/12 13:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at

[2011/12/12 11:21:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound

[2010/04/09 20:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic

[2012/07/03 08:28:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Premium

[2011/04/02 12:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpecialBit

[2012/07/13 12:06:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STAMPIT

[2012/07/13 12:06:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Subliminal Flash

[2012/07/09 19:59:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM

[2011/04/21 07:41:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

[2011/03/18 10:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Top Evidence

[2011/07/06 05:31:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software

[2012/07/13 12:06:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip

[2012/07/13 12:06:34 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}

[2011/12/10 21:21:54 | 000,000,286 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnShakeIcon.job

[2011/12/15 11:32:07 | 000,000,288 | ---- | M] () -- C:\WINDOWS\Tasks\expressripShakeIcon.job

 
 ========== Purity Check ==========

 

 

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 208 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:090FB735

@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8B4B9596

@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:526B3022

@Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DC0B1070

@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7E082023

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A6D6E537

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59465B40

@Alternate Data Stream - 137 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E14FA16F

@Alternate Data Stream - 136 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:512E1728

@Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FDDD8917

@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5080697C

@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9BFB769D

@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:405D842B

@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2C678471

@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:206470A5

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C72A744C

@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3086B95F

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A56D6987

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5D351BC6

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E2CFA9CD

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:33B04540

@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C30487EE

@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:52C24010

@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:57176330

@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:225CD7D5

@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A7DA2BCD

@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5BC73C48

< End of report >

--- --- ---

soweit bisher...

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.

O3 - HKU\Julian_ON_C\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKU\Julian_ON_C..\Run: [A8E33AE8] C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa\pybukzwyn.exe (GreenGlide)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found

O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007/11/28 11:42:33 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

@Alternate Data Stream - 208 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:090FB735

@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8B4B9596

@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:526B3022

@Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DC0B1070

@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7E082023

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A6D6E537

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59465B40

@Alternate Data Stream - 137 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E14FA16F

@Alternate Data Stream - 136 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:512E1728

@Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FDDD8917

@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5080697C

@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9BFB769D

@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:405D842B

@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2C678471

@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:206470A5

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C72A744C

@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3086B95F

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A56D6987

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5D351BC6

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E2CFA9CD

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0

@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:33B04540

@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C30487EE

@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:52C24010

@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:57176330

@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:225CD7D5

@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A7DA2BCD

@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5BC73C48

:Files

C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

okay den ersten Teil habe ich.

hier der Inhalt des gewünschten Logfiles :

========== OTL ==========
Registry value HKEY_USERS\Julian_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{000E148C-F7A7-445A-9044-93BF6CE09ECB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{000E148C-F7A7-445A-9044-93BF6CE09ECB}\ not found.
Registry value HKEY_USERS\Julian_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{759D9886-0C6F-4498-BAB6-4A5F47C6C72F}\ not found.
Registry value HKEY_USERS\Julian_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ deleted successfully.
Registry value HKEY_USERS\Julian_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ deleted successfully.
C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll moved successfully.
Registry value HKEY_USERS\Julian_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\A8E33AE8 deleted successfully.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa\pybukzwyn.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Julian_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:090FB735 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8B4B9596 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:526B3022 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DC0B1070 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7E082023 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A6D6E537 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59465B40 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E14FA16F deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:512E1728 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FDDD8917 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5080697C deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9BFB769D deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:405D842B deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2C678471 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:206470A5 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C72A744C deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3086B95F deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A56D6987 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5D351BC6 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E2CFA9CD deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:33B04540 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C30487EE deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:52C24010 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:57176330 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:225CD7D5 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A7DA2BCD deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5BC73C48 deleted successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 07162012_202630

jetzt kümmere ich mich um den Quarantäneordner ...

Was ist mit dem Upload?

Edit: Achso du kümmerst du schon drum ok :)

so Datei müsste bei dir angekommen sein.

ich kann meinen eigenen Desktop sehen *freu*

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

so hier das Ergebnis vom Scan:

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.16.11
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Julian :: TX [Administrator]
 

Schutz: Aktiviert
 

17.07.2012 02:19:12

mbam-log-2012-07-17 (02-19-12).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 288204

Laufzeit: 55 Minute(n), 8 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\_OTL\MovedFiles\07162012_202630\C_Dokumente und Einstellungen\Julian\Anwendungsdaten\Uolxrqa\pybukzwyn.exe (Trojan.Phex.THAGen1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Eset mache ich jetzt direkt.

Und das Ergebnis von ESET:

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=eca8014e91c9884c935ccb6f78f40fd1

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-17 03:08:26

# local_time=2012-07-17 05:08:26 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=62098

# found=12

# cleaned=0

# scan_time=5292

C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\11fec232-6fb32ff4        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\13.07.2012.zip        Win32/Trustezeb.C trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\97E0C5D4-BAB0-7891-B3D5-B9945C3FC16F\MyBabylonTB.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\InstallShare31775\bab_setup.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll        a variant of Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe        probably a variant of Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\RECYCLER\S-1-5-21-776561741-1993962763-839522115-1004\Dc1.zip        Win32/Trustezeb.B trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles.7z        Win32/Trustezeb.C trojan (unable to clean)        00000000000000000000000000000000        I