| Sebastian123 | 21.07.2012 16:05 |
Verschlüsselungstrojaner hat auch mich erwischt
Letztes update: Habe die Logs immer mit Quote und nicht mit Code eingefügt.... Wer lesen kann ist klar im Vorteil ;-)
Hoffe eure Regeln alle befolgt zu haben
Hallo,
leider habe ich eure Regeln zu spät gelesen und schon einiges auf eigene Faust gemacht.... Vermutlich vieles Falsch und baue nun auf eure Hilfe.
Mein OS ist Windows 7 64 bit
Zu meinem Problem:
am 13.07.2012 habe ich mir den Verschlüsselungstrojaner eingefangen; vielleicht auch mehr. Nachdem ich den Netzwerkstecker zog und neu startete habe ich AVIRA drüberlaufen lassen und das hat einiges gefunden: Code:
]Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012 20:13
Es wird nach 3870116 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Sebastian
Computername : SEBASTIAN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:56:09
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:56:09
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:56:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:56:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:09:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:16:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:10:23
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:20:10
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:01:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:01:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:01:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:01:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:01:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:01:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:01:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:01:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:01:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:22:40
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:22:40
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 18:22:41
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:02:09
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 19:02:14
VBASE019.VDF : 7.11.35.236 2048 Bytes 12.07.2012 19:02:14
VBASE020.VDF : 7.11.35.237 2048 Bytes 12.07.2012 19:02:14
VBASE021.VDF : 7.11.35.238 2048 Bytes 12.07.2012 19:02:14
VBASE022.VDF : 7.11.35.239 2048 Bytes 12.07.2012 19:02:14
VBASE023.VDF : 7.11.35.240 2048 Bytes 12.07.2012 19:02:15
VBASE024.VDF : 7.11.35.241 2048 Bytes 12.07.2012 19:02:15
VBASE025.VDF : 7.11.35.242 2048 Bytes 12.07.2012 19:02:15
VBASE026.VDF : 7.11.35.243 2048 Bytes 12.07.2012 19:02:15
VBASE027.VDF : 7.11.35.244 2048 Bytes 12.07.2012 19:02:15
VBASE028.VDF : 7.11.35.245 2048 Bytes 12.07.2012 19:02:15
VBASE029.VDF : 7.11.35.246 2048 Bytes 12.07.2012 19:02:15
VBASE030.VDF : 7.11.35.247 2048 Bytes 12.07.2012 19:02:15
VBASE031.VDF : 7.11.36.42 118784 Bytes 13.07.2012 18:11:53
Engineversion : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:02:11
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 18:24:54
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:30:13
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 13:54:21
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.3.0.14 807287 Bytes 13.07.2012 18:11:57
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:02:24
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 13.07.2012 18:11:56
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:01:18
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 18:22:42
AEEXP.DLL : 8.1.0.62 86389 Bytes 11.07.2012 19:02:10
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:02:10
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 19:02:10
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:56:09
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:56:09
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:56:10
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:56:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:56:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:56:10
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:56:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:56:10
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:56:09
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:56:09
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 13. Juli 2012 20:13
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\Sebastian\AppData\Roaming\appconf32.exe
[FUND] Ist das Trojanische Pferd TR/Barys.5792
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Windows\Sysnative\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe>
[HINWEIS] Prozess 'avcenter.exe' wurde beendet
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Start Menu> wurde erfolgreich repariert.
Modul ist infiziert -> <C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe167.dll>
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Modul ist OK -> <C:\Windows\SysWOW64\svchost.exe>
[HINWEIS] Prozess 'svchost.exe' wurde beendet
Modul ist infiziert -> <C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe167.dll>
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '(null)' verschoben!
Durchsuche Prozess 'TSTheme.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich entfernt.
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Sebastian\AppData\Roaming\appconf32.exe
[FUND] Ist das Trojanische Pferd TR/Barys.5792
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f6eb4e6.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-201492113-3301738447-438832447-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-201492113-3301738447-438832447-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
Ende des Suchlaufs: Freitag, 13. Juli 2012 20:47
Benötigte Zeit: 33:35 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
2861 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
2857 Dateien ohne Befall
9 Archive wurden durchsucht
2 Warnungen
6 Hinweise
619330 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Habe diesen suchlauf unterbrochen um Avira upzudaten, als ich jedoch wieder ins internet ging kamerneut die verschlüsselung. Also erneut das Netzwerkkabel getrennt und wieder den Suchlauf gestartet: Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012 22:50
Es wird nach 3870116 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SEBASTIAN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:56:09
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:56:09
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:56:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:56:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:09:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:16:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:10:23
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:20:10
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:01:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:01:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:01:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:01:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:01:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:01:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:01:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:01:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:01:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:22:40
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:22:40
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 18:22:41
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:02:09
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 19:02:14
VBASE019.VDF : 7.11.35.236 2048 Bytes 12.07.2012 19:02:14
VBASE020.VDF : 7.11.35.237 2048 Bytes 12.07.2012 19:02:14
VBASE021.VDF : 7.11.35.238 2048 Bytes 12.07.2012 19:02:14
VBASE022.VDF : 7.11.35.239 2048 Bytes 12.07.2012 19:02:14
VBASE023.VDF : 7.11.35.240 2048 Bytes 12.07.2012 19:02:15
VBASE024.VDF : 7.11.35.241 2048 Bytes 12.07.2012 19:02:15
VBASE025.VDF : 7.11.35.242 2048 Bytes 12.07.2012 19:02:15
VBASE026.VDF : 7.11.35.243 2048 Bytes 12.07.2012 19:02:15
VBASE027.VDF : 7.11.35.244 2048 Bytes 12.07.2012 19:02:15
VBASE028.VDF : 7.11.35.245 2048 Bytes 12.07.2012 19:02:15
VBASE029.VDF : 7.11.35.246 2048 Bytes 12.07.2012 19:02:15
VBASE030.VDF : 7.11.35.247 2048 Bytes 12.07.2012 19:02:15
VBASE031.VDF : 7.11.36.42 118784 Bytes 13.07.2012 18:11:53
Engineversion : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:02:11
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 18:24:54
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:30:13
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 13:54:21
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.3.0.14 807287 Bytes 13.07.2012 18:11:57
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:02:24
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 13.07.2012 18:11:56
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:01:18
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 18:22:42
AEEXP.DLL : 8.1.0.62 86389 Bytes 11.07.2012 19:02:10
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:02:10
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 19:02:10
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:56:09
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:56:09
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:56:10
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:56:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:56:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:56:10
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:56:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:56:10
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:56:09
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:56:09
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50006dc0\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 13. Juli 2012 22:50
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Sebastian\AppData\Roaming\13001.023\components\AcroFF023.dll'
C:\Users\Sebastian\AppData\Roaming\13001.023\components\AcroFF023.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '571d207d.qua' verschoben!
Ende des Suchlaufs: Freitag, 13. Juli 2012 22:51
Benötigte Zeit: 01:39 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
13 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
12 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Scheinbar habe ich diesen Suchlauf auch wieder abgebrochen.... Warum weiß ich aber auch nicht. Danach habe ich jedenfalls einen kompletten Suchlauf gestartet: Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012 21:50
Es wird nach 3870116 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SEBASTIAN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:56:09
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:56:09
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:56:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:56:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:09:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:16:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:10:23
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:20:10
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:01:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:01:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:01:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:01:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:01:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:01:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:01:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:01:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:01:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:22:40
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:22:40
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 18:22:41
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:02:09
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 19:02:14
VBASE019.VDF : 7.11.35.236 2048 Bytes 12.07.2012 19:02:14
VBASE020.VDF : 7.11.35.237 2048 Bytes 12.07.2012 19:02:14
VBASE021.VDF : 7.11.35.238 2048 Bytes 12.07.2012 19:02:14
VBASE022.VDF : 7.11.35.239 2048 Bytes 12.07.2012 19:02:14
VBASE023.VDF : 7.11.35.240 2048 Bytes 12.07.2012 19:02:15
VBASE024.VDF : 7.11.35.241 2048 Bytes 12.07.2012 19:02:15
VBASE025.VDF : 7.11.35.242 2048 Bytes 12.07.2012 19:02:15
VBASE026.VDF : 7.11.35.243 2048 Bytes 12.07.2012 19:02:15
VBASE027.VDF : 7.11.35.244 2048 Bytes 12.07.2012 19:02:15
VBASE028.VDF : 7.11.35.245 2048 Bytes 12.07.2012 19:02:15
VBASE029.VDF : 7.11.35.246 2048 Bytes 12.07.2012 19:02:15
VBASE030.VDF : 7.11.35.247 2048 Bytes 12.07.2012 19:02:15
VBASE031.VDF : 7.11.36.42 118784 Bytes 13.07.2012 18:11:53
Engineversion : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:02:11
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 18:24:54
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:30:13
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 13:54:21
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.3.0.14 807287 Bytes 13.07.2012 18:11:57
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:02:24
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 13.07.2012 18:11:56
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:01:18
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 18:22:42
AEEXP.DLL : 8.1.0.62 86389 Bytes 11.07.2012 19:02:10
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:02:10
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 19:02:10
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:56:09
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:56:09
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:56:10
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:56:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:56:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:56:10
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:56:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:56:10
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:56:09
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:56:09
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120713-204712-DB0464AF.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 13. Juli 2012 21:50
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Windows\Sysnative\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '2039' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Volume>
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files (x86)\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WJ3XKC2\IE9-win7[1].msu
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WJ3XKC2\Windows6.1-KB2454826-v2-x64[1].msu
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\3O5NER3Y\install_flashplayer11x64ax_gtba_aih[1].exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7004338a-76fb1fc3
[0] Archivtyp: ZIP
--> Field.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HG
--> Inc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> m.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HF
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\4a2e8034-7406ce11
[0] Archivtyp: ZIP
--> ta/a2.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BY
--> ta/C.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CU
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> ta/tc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ
--> ta/er.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5293a7b4-7cd341c3
[0] Archivtyp: ZIP
--> a/A.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.BD.1.B
--> a/a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.BE.1.B
--> a/b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.AP.1.C
--> a/d.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> a/ref.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CH.1
C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
C:\Users\Sebastian\Desktop\SetupCloneCD5314.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Users\Sebastian\Documents\WISO Mein Geld\MeinGeld.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~1.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~2.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~3.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~4.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~5.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
Beginne mit der Desinfektion:
C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '568c3527.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5293a7b4-7cd341c3
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CH.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e411a91.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\4a2e8034-7406ce11
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c154088.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7004338a-76fb1fc3
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a200fbd.qua' verschoben!
Ende des Suchlaufs: Freitag, 13. Juli 2012 23:38
Benötigte Zeit: 1:47:15 Stunde(n)
Der Suchlauf wurde abgebrochen!
17058 Verzeichnisse wurden überprüft
329778 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
329762 Dateien ohne Befall
1997 Archive wurden durchsucht
14 Warnungen
5 Hinweise
607658 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Danach habe ich MBAM heruntergeladen und nach manuellem Update einen Scan ausgeführt: Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.14.05
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sebastian :: SEBASTIAN-PC [Administrator]
14.07.2012 15:36:39
mbam-log-2012-07-14 (15-36-39).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230132
Laufzeit: 1 Stunde(n), 20 Minute(n), 11 Sekunde(n) [Abgebrochen]
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Users\Sebastian\AppData\Local\Temp\glom0_og.exe (Spyware.Zbot.DG) -> Löschen bei Neustart.
(Ende)
Außerdem hat MBAM auch IPS geblockt: Code:
2012/07/15 13:21:58 +0200 SEBASTIAN-PC Sebastian MESSAGE Starting protection
2012/07/15 13:22:02 +0200 SEBASTIAN-PC Sebastian MESSAGE Protection started successfully
2012/07/15 13:22:05 +0200 SEBASTIAN-PC Sebastian MESSAGE Starting IP protection
2012/07/15 13:22:12 +0200 SEBASTIAN-PC Sebastian MESSAGE IP Protection started successfully
2012/07/15 14:47:18 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 85.183.254.9 (Type: outgoing, Port: 50849, Process: firefox.exe)
2012/07/15 14:55:25 +0200 SEBASTIAN-PC Sebastian MESSAGE Stopping IP protection
2012/07/15 15:04:13 +0200 SEBASTIAN-PC Sebastian MESSAGE IP Protection stopped
und nochmal:
2012/07/18 17:48:33 +0200 SEBASTIAN-PC Sebastian MESSAGE Starting protection
2012/07/18 17:48:36 +0200 SEBASTIAN-PC Sebastian MESSAGE Protection started successfully
2012/07/18 17:48:39 +0200 SEBASTIAN-PC Sebastian MESSAGE Starting IP protection
2012/07/18 17:48:46 +0200 SEBASTIAN-PC Sebastian MESSAGE IP Protection started successfully
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49555, Process: firefox.exe)
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49556, Process: firefox.exe)
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49557, Process: firefox.exe)
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49560, Process: firefox.exe)
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49562, Process: firefox.exe)
2012/07/18 18:04:57 +0200 SEBASTIAN-PC Sebastian IP-BLOCK 109.163.229.165 (Type: outgoing, Port: 49565, Process: firefox.exe)
2012/07/18 20:07:08 +0200 SEBASTIAN-PC Sebastian MESSAGE Executing scheduled update: Daily
2012/07/18 20:07:09 +0200 SEBASTIAN-PC Sebastian ERROR Scheduled update failed: No address found failed with error code 0
und während ich hier am Schreiben war hat AVIRA nochmal Alarm geschlagen:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 21. Juli 2012 16:46
Es wird nach 3913525 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SEBASTIAN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:56:09
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:56:09
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:56:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:56:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:09:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:16:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:10:23
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:20:10
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:01:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:01:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:01:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:01:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:01:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:01:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:01:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:01:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:01:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:22:40
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:22:40
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 18:22:41
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:02:09
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 19:02:14
VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 19:02:19
VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 15:58:50
VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 15:58:48
VBASE022.VDF : 7.11.36.209 135168 Bytes 19.07.2012 14:33:18
VBASE023.VDF : 7.11.37.19 116224 Bytes 21.07.2012 14:33:18
VBASE024.VDF : 7.11.37.20 2048 Bytes 21.07.2012 14:33:18
VBASE025.VDF : 7.11.37.21 2048 Bytes 21.07.2012 14:33:18
VBASE026.VDF : 7.11.37.22 2048 Bytes 21.07.2012 14:33:18
VBASE027.VDF : 7.11.37.23 2048 Bytes 21.07.2012 14:33:18
VBASE028.VDF : 7.11.37.24 2048 Bytes 21.07.2012 14:33:18
VBASE029.VDF : 7.11.37.25 2048 Bytes 21.07.2012 14:33:18
VBASE030.VDF : 7.11.37.26 2048 Bytes 21.07.2012 14:33:19
VBASE031.VDF : 7.11.37.34 39936 Bytes 21.07.2012 14:33:19
Engineversion : 8.2.10.118
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:02:11
AESCRIPT.DLL : 8.1.4.34 455035 Bytes 21.07.2012 14:33:23
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:30:13
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 13:54:21
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.3.0.16 807287 Bytes 21.07.2012 14:33:23
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 21.07.2012 14:33:22
AEHEUR.DLL : 8.1.4.76 5063031 Bytes 21.07.2012 14:33:22
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:01:18
AEGEN.DLL : 8.1.5.34 434548 Bytes 21.07.2012 14:33:19
AEEXP.DLL : 8.1.0.68 86389 Bytes 21.07.2012 14:33:23
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:02:10
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 19:02:10
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:56:09
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:56:09
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:56:10
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:56:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:56:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:56:10
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:56:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:56:10
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:56:09
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:56:09
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_500abceb\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 21. Juli 2012 16:46
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OTL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Sebastian\AppData\Roaming\AcroIEHelpe167.dll'
C:\Users\Sebastian\AppData\Roaming\AcroIEHelpe167.dll
[FUND] Ist das Trojanische Pferd TR/Agent.aotx.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '554a6cfd.qua' verschoben!
Ende des Suchlaufs: Samstag, 21. Juli 2012 16:48
Benötigte Zeit: 01:59 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
20 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
19 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Also ich bin echt irgendwie gerade ängstlich....
Habe mich nicht beim Online-Banking oder sontwo angemeldet.....
Ok... soweit erstmal von mir. Werde noch einen OTL Scan nach Vorschrift machen und posten.
Vielen Dank schonmal im Voraus.
Viele Grüße, Sebastian
P.S. Ich würde nur ungern meinen PC neu aufsetzen müssen und bin auch gerne bereit euch eine kleine "Spende" zukommen zu lassen wenn ihr mir anders auch helfen könnt.
update:
sorry, entgegen eurer Anleitung hat OTL bei mir nur ein LogFile erstellt... was habe ich falsch gemacht ....
habe auch schon ein wenig darin rumgelesen und derart viele Filers habe ich in den letzten 30 Tagen bestimmt nicht geändert... zumindest nicht wissentlich.
Außerdem finde ich den Eintrag names "keyfile3" sehr beunruhigend....
Aber ich habe eigentlich keine Ahnung was genau steht... hier das Ergebnis:
OTL Logfile: Code:
OTL logfile created on: 21.07.2012 17:08:52 - Run 2
OTL by OldTimer - Version 3.2.54.0 Folder = C:\Users\Sebastian\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 1,85 Gb Available Physical Memory | 61,68% Memory free
5,99 Gb Paging File | 4,56 Gb Available in Paging File | 76,14% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 97,66 Gb Total Space | 35,28 Gb Free Space | 36,13% Space Free | Partition Type: NTFS
Drive D: | 348,10 Gb Total Space | 182,22 Gb Free Space | 52,35% Space Free | Partition Type: NTFS
Drive E: | 19,99 Gb Total Space | 10,40 Gb Free Space | 52,01% Space Free | Partition Type: FAT32
Drive F: | 327,48 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Computer Name: SEBASTIAN-PC | User Name: Sebastian | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - C:\Users\Sebastian\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Windows\SysWOW64\IoctlSvc.exe (Prolific Technology Inc.)
========== Modules (No Company Name) ==========
========== Win32 Services (SafeList) ==========
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (Akamai) -- c:\program files (x86)\common files\akamai/netsession_win_4f7fccd.dll ()
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (TeamViewer7) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (TeamViewer6) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (npggsvc) -- C:\Windows\SysWOW64\GameMon.des (INCA Internet Co., Ltd.)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (dtpd) -- C:\Programme\ShrewSoft\VPN Client\dtpd.exe ()
SRV - (iked) -- C:\Programme\ShrewSoft\VPN Client\iked.exe ()
SRV - (ipsecd) -- C:\Programme\ShrewSoft\VPN Client\ipsecd.exe ()
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Program Files (x86)\WinPcap\rpcapd.exe (CACE Technologies)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
SRV - (PLFlash DeviceIoControl Service) -- C:\Windows\SysWOW64\IoctlSvc.exe (Prolific Technology Inc.)
========== Driver Services (SafeList) ==========
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (ssudmdm) SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.) -- C:\Windows\SysNative\drivers\ssudmdm.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.) -- C:\Windows\SysNative\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira GmbH)
DRV:64bit: - (atksgt) -- C:\Windows\SysNative\drivers\atksgt.sys ()
DRV:64bit: - (lirsgt) -- C:\Windows\SysNative\drivers\lirsgt.sys ()
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (vflt) -- C:\Windows\SysNative\drivers\vfilter.sys (Shrew Soft Inc)
DRV:64bit: - (vnet) -- C:\Windows\SysNative\drivers\virtualnet.sys (Shrew Soft Inc)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\drivers\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation )
DRV:64bit: - (netr28ux) -- C:\Windows\SysNative\drivers\netr28ux.sys (Ralink Technology Corp.)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV:64bit: - (NPF) -- C:\Windows\SysNative\drivers\npf.sys (CACE Technologies)
DRV:64bit: - (ElbyCDFL) -- C:\Windows\SysNative\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
DRV - (ElbyCDFL) -- C:\Windows\SysWOW64\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (NPPTNT2) -- C:\Windows\SysWOW64\npptNT2.sys (INCA Internet Co., Ltd.)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 56 6E 9C ED 05 FD CA 01 [binary data]
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
========== FireFox ==========
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: multilinks@plugin:3.0.0.16
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.90
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_265.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.10.22 20:17:53 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 14:48:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.06.28 13:29:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.07.15 14:04:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.10.22 20:17:53 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\Sebastian\AppData\Roaming\13001.023 [2012.07.12 20:45:11 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 14:48:46 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.06.28 13:29:09 | 000,000,000 | ---D | M]
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Extensions
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.07.04 20:58:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions
[2012.05.18 19:31:56 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\ich@maltegoetz.de
[2011.05.20 17:10:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\nostmp
[2012.01.27 18:04:19 | 000,000,000 | ---D | M] ([verify-U]-Add-on) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\verify-u_2@cybits.de
[2012.07.12 19:31:33 | 000,000,950 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\2pr8ki9d.default\searchplugins\icqplugin-1.xml
[2010.06.22 10:07:46 | 000,001,069 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\2pr8ki9d.default\searchplugins\icqplugin.xml
[2012.03.18 11:57:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.07.12 20:45:11 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\USERS\SEBASTIAN\APPDATA\ROAMING\13001.023
[2011.12.28 11:08:14 | 000,038,090 | ---- | M] () (No name found) -- C:\USERS\SEBASTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2PR8KI9D.DEFAULT\EXTENSIONS\MULTILINKS@PLUGIN.XPI
[2012.06.17 14:48:46 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.03.07 13:07:16 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2012.04.26 22:04:11 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.26 22:04:11 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.04.26 22:04:11 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.04.26 22:04:11 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.26 22:04:11 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.26 22:04:11 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk = C:\Program Files (x86)\WISO\Steuersoftware 2012\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000005 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000006 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{590E76F6-97C1-496A-A036-FCF46ADC7F60}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{88530A68-143F-4147-A335-973A92136A56}: DhcpNameServer = 192.168.1.1
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\text/xml - No CLSID value found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [1999.04.19 02:48:30 | 000,000,025 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{6dfce9cc-ceed-11de-b86d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6dfce9cc-ceed-11de-b86d-806e6f6e6963}\Shell\AutoRun\command - "" = F:\START.EXE -- [1999.04.19 00:59:53 | 001,832,279 | R--- | M] (Macromedia, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
========== Files/Folders - Created Within 30 Days ==========
[2012.07.21 16:42:45 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Sebastian\Desktop\OTL.exe
[2012.07.15 14:56:16 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2012.07.15 14:52:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.07.15 14:52:26 | 002,322,184 | ---- | C] (ESET) -- C:\Users\Sebastian\Desktop\esetsmartinstaller_enu.exe
[2012.07.14 15:19:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.14 15:19:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.07.14 15:19:05 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\Users\Sebastian\Desktop\malwarebytes_antimalware_1.61.exe
[2012.07.12 20:45:10 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\13001.023
[2012.07.12 19:45:09 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\13001.022
[2012.07.12 19:44:38 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\xmldm
[2012.07.12 19:44:37 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\kock
[2012.07.01 15:08:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi
[2012.07.01 15:08:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LogMeIn Hamachi
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\Sebastian\AppData\Roaming\*.tmp files -> C:\Users\Sebastian\AppData\Roaming\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012.07.21 16:54:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.21 16:42:48 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Sebastian\Desktop\OTL.exe
[2012.07.21 16:41:36 | 000,050,477 | ---- | M] () -- C:\Users\Sebastian\Desktop\Defogger.exe
[2012.07.21 16:37:46 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.21 16:37:46 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.21 16:37:13 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.07.21 16:37:13 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.07.21 16:37:13 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.07.21 16:37:13 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.07.21 16:37:13 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.07.21 16:30:19 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.21 16:29:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.21 16:29:51 | 2414,485,504 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.20 21:14:12 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.15 14:52:27 | 002,322,184 | ---- | M] (ESET) -- C:\Users\Sebastian\Desktop\esetsmartinstaller_enu.exe
[2012.07.15 14:04:25 | 000,002,092 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
[2012.07.14 15:35:50 | 000,001,115 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.14 15:34:58 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.07.14 15:17:29 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\Users\Sebastian\Desktop\malwarebytes_antimalware_1.61.exe
[2012.07.12 22:25:03 | 000,000,026 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\urhtps.dat
[2012.07.12 22:18:30 | 000,000,051 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\blckdom.res
[2012.07.11 18:12:36 | 000,445,544 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.07.03 13:46:44 | 000,024,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.07.01 15:08:26 | 000,000,932 | ---- | M] () -- C:\Users\Public\Desktop\LogMeIn Hamachi.lnk
[2012.06.28 13:29:09 | 000,002,020 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\Sebastian\AppData\Roaming\*.tmp files -> C:\Users\Sebastian\AppData\Roaming\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012.07.21 16:41:35 | 000,050,477 | ---- | C] () -- C:\Users\Sebastian\Desktop\Defogger.exe
[2012.07.15 14:04:25 | 000,002,092 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
[2012.07.14 17:28:32 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.14 15:19:53 | 000,001,115 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.14 11:37:56 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad
[2012.07.12 22:25:03 | 000,000,026 | ---- | C] () -- C:\Users\Sebastian\AppData\Roaming\urhtps.dat
[2012.07.12 19:44:48 | 000,000,051 | ---- | C] () -- C:\Users\Sebastian\AppData\Roaming\blckdom.res
[2012.02.03 18:04:26 | 000,000,622 | ---- | C] () -- C:\Windows\wiso.ini
[2011.12.23 21:58:28 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2011.11.18 12:35:06 | 000,000,845 | ---- | C] () -- C:\Users\Sebastian\.recently-used.xbel
[2011.09.13 15:35:05 | 000,000,535 | ---- | C] () -- C:\Windows\eReg.dat
[2011.06.07 21:35:32 | 005,875,284 | ---- | C] () -- C:\Users\Sebastian\Gutes Nitzwerk- Paul Kalkbrenner- Filmed in Shanghai via IPhone- Album- Icke wieder-.mp3
[2011.06.05 13:09:58 | 000,061,440 | ---- | C] () -- C:\Users\Sebastian\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.27 14:19:30 | 000,974,848 | ---- | C] () -- C:\Windows\SysWow64\cis-2.4.dll
[2011.04.27 14:19:30 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\issacapi_bs-2.3.dll
[2011.04.27 14:19:30 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\issacapi_pe-2.3.dll
[2011.04.27 14:19:30 | 000,057,344 | ---- | C] () -- C:\Windows\SysWow64\issacapi_se-2.3.dll
[2011.04.08 11:06:14 | 000,004,096 | -H-- | C] () -- C:\Users\Sebastian\AppData\Local\keyfile3.drm
[2011.01.07 19:03:33 | 000,000,032 | ---- | C] () -- C:\Windows\Menu.INI
[2011.01.05 23:47:15 | 000,007,639 | ---- | C] () -- C:\Users\Sebastian\AppData\Local\Resmon.ResmonCfg
[2010.10.22 20:13:24 | 000,252,124 | ---- | C] () -- C:\Windows\hpwins21.dat
[2010.10.22 20:13:24 | 000,000,575 | ---- | C] () -- C:\Windows\hpwmdl21.dat
[2010.08.26 15:58:27 | 005,575,650 | ---- | C] () -- C:\Users\Sebastian\3DModels-Scopia-1.0.52.zip
[2009.11.24 23:13:54 | 000,001,024 | ---- | C] () -- C:\Users\Sebastian\.rnd
[2009.11.24 22:38:52 | 000,000,081 | -HS- | C] () -- C:\ProgramData\.zreglib
========== LOP Check ==========
[2012.07.12 19:45:09 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\13001.022
[2012.07.12 20:45:11 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\13001.023
[2012.02.01 12:57:24 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Babylon
[2010.06.05 14:11:49 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Buhl Data Service
[2010.06.05 14:09:39 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Buhl Data Service GmbH
[2010.05.27 19:21:35 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DAEMON Tools Lite
[2010.06.05 14:10:44 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DataDesign
[2011.05.30 18:43:32 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.06.06 12:11:51 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\fun communications
[2011.08.09 19:10:42 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\gtk-2.0
[2012.02.20 23:03:57 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\ICQ
[2011.01.23 19:20:01 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\JSGSoft.com
[2012.07.12 19:44:37 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\kock
[2010.11.27 22:43:04 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\MAGIX
[2012.04.15 22:27:57 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\MyPhoneExplorer
[2011.01.15 23:22:22 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Roaming
[2012.02.01 12:40:45 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Samsung
[2010.09.04 15:53:51 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Shrew_Soft_VPN
[2011.01.30 18:09:36 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\SmartDraw
[2011.02.12 21:12:24 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\TeamViewer
[2012.02.01 12:51:25 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Temp
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Thunderbird
[2012.02.21 21:33:28 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Ubisoft
[2010.06.13 13:32:48 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Ulead Systems
[2012.07.12 19:44:38 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\xmldm
[2012.04.08 16:26:26 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
========== Purity Check ==========
========== Alternate Data Streams ==========
@Alternate Data Stream - 24 bytes -> C:\Windows:64680A8D8599E7EB
< End of report >
--- --- ---
Ich gehe an diesem Rechner jedenfalls voerst nicht mehr online ;-)
Hoffe auf baldige Hilfe
Viele Grüße,
Sebastian |
