Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bundespolizei, Ihe Rechner wurde gesperrt (https://www.trojaner-board.de/122107-bundespolizei-ihe-rechner-wurde-gesperrt.html)

Quaxborg 14.08.2012 16:46
Bundespolizei, Ihe Rechner wurde gesperrt
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo,

Zunächst meine Systeminformationen (soweit bekannt):

Hardware: Fujitsu-Siemens Notebook "Amilo", 2 x 2,0 GHz, 500 GB Festplatte (-n), Betriebssystem Windows Vista
Browser zur Zeit der Fehlermeldung: Internet Explorer

Gestern (Montag, 13.08.2012) habe ich auf Youtube nach Songs für die Band, in der ich Bass spiele gesucht und dann auch auf einen Link zum Herunterladen des Songtextes/der Noten geklickt. Kurz danach erschien auf meinem Bildschirm die bei Euch schon dokumentierte Darstellung "Bundespolizei - Ihr Rechner wurde gesperrt wegen unzulässigem Inhalt/Kinderpornografie usw.".

Ich bin eigentlich immer, wenn ich mein Notebook benutze, als normaler User ohne Admin-Rechte eingeloggt, deshalb konnte ich durch User-Wechsel mein Notebook nach wie vor benutzen und habe zunächst einen Virus-Scan mit Avira gestartet (Report anbei: "AVSCAN") - der Scan ergab einen Treffer. Anschließend habe ich versucht, eine Datensicherung (über Standard-Windows Vista) laufen zu lassen, die sich aber nach mehreren Stunden offensichtlich aufgehängt hat.

Anschließend habe ich mich über Google versucht schlau zu machen, bin auf Euer Forum gestoßen, mich registriert und versuche seither, Euren Empfehlungen zu folgen:

Ich habe die "Malwarebytes" Software heruntergeladen, installiert und einen Komplett-Scan durchgeführt, Report: "mbam-log-2012-08-14 (10-45-06). Dabei wurden 7 infizierte Dateien gefunden, die jetzt in der Quaratäne sind.

"Defogger" habe ich anschließend ebenfalls heruntergeladen und laufen lassen, dabei erhielt ich keinerlei Fehlermeldung.

Anschließend habe ich "OTL" heruntergeladen und installiert sowie den "Quickscan" laufen lassen, dabei erhielt ich folgende Fehlermeldung: Anhang "Screenshot_Error_01".

Da sich gleicheitig wohl auch der Scanner "OTL" aufgehängt hatte (Anhang "Screenshot_Error_02", habe ich an diesem Punkt erst einmal alle weiteren Rettungsversuche abgebrochen - laßt mich doch bitte wissen, was ich als nächstes machen könnte.

Viele Grüße,
Quaxborg

markusg 14.08.2012 19:09
hi,
falls dies bereits möglich ist:
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

danach:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Quaxborg 14.08.2012 21:51
Hi,

vielleicht bin ich ja wieder einmal zu blöd, aber im Pfad "c:\Users\name\" (also in meinem Fall "c:\Benutzer\mein Name" finde ich keinen Ordner "AppData" ...

Also: Ein Textdokument "OTL" ist doch erstellt worden, nur kein "Extra" ...

Inhalt "OTL":OTL Logfile:
Code:
OTL logfile created on: 14.08.2012 16:44:30 - Run 1
OTL by OldTimer - Version 3.2.57.0    Folder = C:\Users\admin\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 28,51% Memory free
6,21 Gb Paging File | 3,85 Gb Available in Paging File | 62,01% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 76,00 Gb Total Space | 9,14 Gb Free Space | 12,03% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 197,05 Gb Free Space | 84,61% Space Free | Partition Type: NTFS
Drive E: | 148,09 Gb Total Space | 56,71 Gb Free Space | 38,29% Space Free | Partition Type: NTFS
 
Computer Name: QS_NOTEBOOK | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.08.14 16:43:44 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\admin\Desktop\OTL.exe
PRC - [2012.08.13 07:37:41 | 000,053,248 | ---- | M] () -- C:\ProgramData\rvgbkgmr.exe
PRC - [2012.08.08 09:46:34 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.07.03 13:46:44 | 000,462,920 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.07.03 13:46:42 | 000,973,488 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2012.05.09 17:29:20 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.09 17:29:20 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.09 17:29:20 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.09 17:29:19 | 000,391,632 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2011.01.17 18:50:34 | 011,322,880 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2011.01.17 18:50:34 | 011,314,688 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2010.12.14 17:49:30 | 001,169,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sdclt.exe
PRC - [2009.01.04 17:26:16 | 000,028,672 | ---- | M] (AVEO) -- C:\Programme\AVEO USB2.0 PC Camera\CamAppSTI.exe
PRC - [2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.10.22 11:34:10 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2008.07.03 04:25:04 | 000,307,712 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2008.02.29 14:13:12 | 000,307,200 | ---- | M] (Fujitsu Siemens Computers) -- C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2008.01.21 04:24:13 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2008.01.21 04:23:29 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2007.11.21 09:59:54 | 000,150,584 | ---- | M] (Norman ASA) -- C:\Programme\Norman\Npm\Bin\elogsvc.exe
PRC - [2007.05.10 22:46:20 | 000,624,248 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
PRC - [2007.04.13 08:00:00 | 000,182,272 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Windows\System32\spool\drivers\w32x86\3\E_FATICKE.EXE
PRC - [2007.03.13 15:01:40 | 000,029,696 | ---- | M] () -- C:\Programme\Power Manager\PM.exe
PRC - [2007.01.18 14:46:56 | 004,349,952 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2007.01.11 06:02:00 | 000,113,664 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
PRC - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) -- c:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe
PRC - [2006.11.03 11:01:16 | 000,319,488 | ---- | M] (PixArt Imaging Incorporation) -- C:\Windows\PixArt\Pac7302\Monitor.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.04.23 15:30:26 | 000,985,088 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2008.10.20 16:28:44 | 000,045,056 | ---- | M] () -- C:\Programme\AVEO USB2.0 PC Camera\AVEOCamSDK.dll
MOD - [2007.03.13 15:01:40 | 000,029,696 | ---- | M] () -- C:\Programme\Power Manager\PM.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- d:\apache\apache\bin\apache.exe -- (Apache2.2)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.07.03 13:19:28 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.09 17:29:20 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.09 17:29:20 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.22 11:34:10 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.05.13 10:49:00 | 000,203,896 | ---- | M] (Norman ASA) [Disabled | Stopped] -- C:\Programme\Norman\Npm\Bin\Njeeves.exe -- (Norman NJeeves)
SRV - [2008.04.24 12:04:34 | 000,429,176 | ---- | M] (Norman ASA) [Disabled | Stopped] -- C:\Programme\Norman\Npm\Bin\Zanda.exe -- (Norman ZANDA)
SRV - [2008.02.29 14:13:12 | 000,307,200 | ---- | M] (Fujitsu Siemens Computers) [Auto | Running] -- C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2008.02.07 11:07:04 | 000,121,912 | ---- | M] (Norman ASA) [Disabled | Stopped] -- C:\Programme\Norman\Npm\Bin\nvoy.exe -- (NVOY)
SRV - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007.11.21 09:59:54 | 000,150,584 | ---- | M] (Norman ASA) [Auto | Running] -- C:\Programme\Norman\Npm\Bin\elogsvc.exe -- (eLoggerSvc6)
SRV - [2007.09.18 11:41:18 | 000,154,680 | ---- | M] (Norman ASA) [Disabled | Stopped] -- C:\Programme\Norman\Npm\Bin\nvcsched.exe -- (NVCScheduler)
SRV - [2007.03.20 16:41:24 | 000,153,792 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Programme\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe -- (Adobe Version Cue CS3)
SRV - [2007.01.11 06:02:00 | 000,113,664 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE -- (EPSON_PM_RPCV4_01)
SRV - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto | Running] -- c:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - [2012.08.14 10:47:10 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\thyyoa.sys -- (fmuws)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.05.09 17:29:20 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.09 17:29:20 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.09.16 17:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.03.15 12:48:02 | 000,281,472 | ---- | M] (AVEO Corp) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\AVEOdcnt.sys -- (AVEO)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.01.13 09:45:00 | 000,954,368 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008.09.28 20:25:29 | 000,084,992 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Geniausb.sys -- (GenDTV)
DRV - [2008.09.28 20:25:29 | 000,044,800 | ---- | M] (anchor chips) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\DVBT_Loader.sys -- (DVBT_Loader)
DRV - [2008.05.27 13:55:54 | 000,173,576 | ---- | M] (AMD Technologies Inc.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ahcix86s.sys -- (ahcix86s)
DRV - [2008.04.03 14:58:46 | 000,076,688 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\jraid.sys -- (JRAID)
DRV - [2008.01.29 13:55:00 | 001,042,464 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2008.01.03 16:57:40 | 000,110,624 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007.11.08 10:29:52 | 000,458,752 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PAC7302.SYS -- (PAC7302)
DRV - [2007.09.07 01:00:00 | 000,783,272 | ---- | M] (Bison Electronics. Inc. ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BisonCam.sys -- (Cam5603D)
DRV - [2007.07.19 01:31:00 | 007,599,776 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2007.03.15 17:46:24 | 000,008,704 | ---- | M] (Conexant Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\XAudio.sys -- (XAudio)
DRV - [2007.02.02 09:51:14 | 000,040,448 | ---- | M] (SMSC) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\smscirrx.sys -- (smscirrx)
DRV - [2007.01.04 11:15:08 | 000,009,336 | ---- | M] (hxxp://www.internals.com) [Kernel | System | Running] -- C:\Windows\System32\WinIo.sys -- (WINIO)
DRV - [2006.10.30 15:35:20 | 000,140,800 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2006.09.15 08:44:18 | 000,011,520 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7FUJC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7FUJC
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.2
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_33: C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Program Files\VistaCodecPack\rm\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Program Files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.29 12:07:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.07.16 19:36:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.5\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012.07.16 19:56:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.5\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2008.09.17 19:02:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Extensions
[2012.08.14 16:37:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\q0can66p.default\extensions
[2010.08.01 13:59:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\q0can66p.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.02.28 16:27:43 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\q0can66p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010.08.01 13:58:51 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\q0can66p.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.08.06 10:56:23 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\q0can66p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2011.09.28 17:58:00 | 000,000,873 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\q0can66p.default\searchplugins\conduit.xml
[2012.07.16 19:36:19 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.07.16 19:36:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2012.07.16 19:36:19 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2008.03.15 15:56:14 | 000,002,642 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (ContributeBHO Class) - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll ()
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Contribute Toolbar) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll ()
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe_ID0EYTHM] C:\Programme\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3Tray.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CamAppSTI.exe] C:\Programme\AVEO USB2.0 PC Camera\CamAppSTI.exe (AVEO)
O4 - HKLM..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA File not found
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Norman ZANDA] C:\Program Files\Norman\Npm\Bin\ZLH.EXE (Norman ASA)
O4 - HKLM..\Run: [NPCTray] C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [PAC7302_Monitor] C:\Windows\PixArt\Pac7302\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Append to existing PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert link target to Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert link target to existing PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to existing PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to existing PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.222.122.11 195.222.122.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D9A81A35-6F16-47AB-8312-9AFCA6D9C449}: DhcpNameServer = 195.222.122.11 195.222.122.12
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.14 16:43:36 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Users\admin\Desktop\OTL.exe
[2012.08.14 10:45:51 | 000,000,000 | ---D | C] -- C:\Users\admin\Desktop\Malware_Dateien
[2012.08.14 07:40:13 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Malwarebytes
[2012.08.14 07:39:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.14 07:39:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.14 07:39:29 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.08.14 07:39:29 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.08.14 07:36:34 | 010,652,120 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\admin\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.13 07:37:51 | 000,000,000 | ---D | C] -- C:\ProgramData\kiwjcrufvprhija
[2012.07.16 20:31:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.07.16 20:31:26 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012.07.16 20:31:25 | 000,000,000 | R--D | C] -- C:\Program Files\Skype
[2012.07.16 19:37:07 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2012.07.16 19:35:27 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.07.16 18:43:39 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\OpenOffice.org
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.14 16:59:14 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.14 16:43:44 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\admin\Desktop\OTL.exe
[2012.08.14 16:39:54 | 000,000,000 | ---- | M] () -- C:\Users\admin\defogger_reenable
[2012.08.14 16:38:33 | 000,050,477 | ---- | M] () -- C:\Users\admin\Desktop\Defogger.exe
[2012.08.14 16:24:17 | 000,027,335 | ---- | M] () -- C:\Users\admin\AppData\Roaming\nvModes.001
[2012.08.14 15:51:59 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.14 10:47:10 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\thyyoa.sys
[2012.08.14 09:37:26 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.14 09:37:26 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.14 07:39:32 | 000,000,912 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.14 07:33:41 | 010,652,120 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\admin\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.13 18:59:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.13 17:25:30 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.08.13 17:25:30 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.08.13 17:25:30 | 000,126,454 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.08.13 17:25:30 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.08.13 17:21:43 | 000,027,335 | ---- | M] () -- C:\Users\admin\AppData\Roaming\nvModes.dat
[2012.08.13 11:09:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2012.08.13 09:37:13 | 3220,160,512 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.13 07:37:51 | 000,000,051 | ---- | M] () -- C:\ProgramData\rmqkzsmirgoulim
[2012.08.13 07:37:41 | 000,053,248 | ---- | M] () -- C:\ProgramData\rvgbkgmr.exe
[2012.07.16 20:31:26 | 000,001,880 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.07.16 19:10:52 | 001,926,480 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.07.16 18:44:29 | 000,001,034 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
[2012.07.16 18:39:40 | 000,054,156 | -H-- | M] () -- C:\Windows\QTFont.qfn
[2012.07.16 15:55:16 | 000,003,584 | ---- | M] () -- C:\Users\admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.08.14 16:39:54 | 000,000,000 | ---- | C] () -- C:\Users\admin\defogger_reenable
[2012.08.14 16:38:30 | 000,050,477 | ---- | C] () -- C:\Users\admin\Desktop\Defogger.exe
[2012.08.14 10:47:10 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\thyyoa.sys
[2012.08.14 07:39:32 | 000,000,912 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.13 07:37:51 | 000,053,248 | ---- | C] () -- C:\ProgramData\rvgbkgmr.exe
[2012.08.13 07:37:47 | 000,000,051 | ---- | C] () -- C:\ProgramData\rmqkzsmirgoulim
[2012.07.16 20:31:26 | 000,001,880 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.07.16 18:44:29 | 000,001,034 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
[2012.07.16 15:55:10 | 000,003,584 | ---- | C] () -- C:\Users\admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.11.30 12:07:19 | 000,000,216 | ---- | C] () -- C:\Windows\Ulead32.ini
[2010.09.28 18:47:53 | 000,000,000 | ---- | C] () -- C:\Windows\Sam6_E.INI
[2008.09.28 20:26:35 | 000,027,335 | ---- | C] () -- C:\Users\admin\AppData\Roaming\nvModes.001
[2008.09.28 20:11:59 | 000,027,335 | ---- | C] () -- C:\Users\admin\AppData\Roaming\nvModes.dat
 
========== LOP Check ==========
 
[2009.02.09 19:23:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ahnenblatt
[2012.05.29 23:28:28 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoft
[2011.02.28 16:27:37 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.04.20 18:12:08 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\GetRightToGo
[2010.08.04 09:47:41 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MAGIX
[2012.07.16 18:43:39 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\OpenOffice.org
[2008.09.17 19:41:53 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Thunderbird
[2011.03.31 12:40:32 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Youtube Downloader HD
[2012.08.13 07:44:51 | 000,032,558 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---

Quaxborg 16.08.2012 09:13
GMER ist jetzt gelaufen, hat fast 24 h gedauert, hier ist der Inhalt des Log-Files:
GMER Logfile:
Code:
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2012-08-16 09:38:40
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\0000005c WDC_WD25 rev.01.0
Running: c5286lw3.exe; Driver: C:\Users\admin\AppData\Local\Temp\uwdiypog.sys


---- System - GMER 1.0.15 ----

SSDT            8CB3ED1E                                                                                        ZwCreateSection
SSDT            8CB3ED28                                                                                        ZwRequestWaitReplyPort
SSDT            8CB3ED23                                                                                        ZwSetContextThread
SSDT            8CB3ED2D                                                                                        ZwSetSecurityObject
SSDT            8CB3ED32                                                                                        ZwSystemDebugControl
SSDT            8CB3ECBF                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!KeSetTimerEx + 448                                                                  826CDA6C 4 Bytes  [1E, ED, B3, 8C] {PUSH DS; IN EAX, DX; MOV BL, 0x8c}
.text          ntkrnlpa.exe!KeSetTimerEx + 76C                                                                  826CDD90 4 Bytes  [28, ED, B3, 8C] {SUB CH, CH; MOV BL, 0x8c}
.text          ntkrnlpa.exe!KeSetTimerEx + 7A0                                                                  826CDDC4 4 Bytes  [23, ED, B3, 8C] {AND EBP, EBP; MOV BL, 0x8c}
.text          ntkrnlpa.exe!KeSetTimerEx + 804                                                                  826CDE28 4 Bytes  [2D, ED, B3, 8C]
.text          ntkrnlpa.exe!KeSetTimerEx + 84C                                                                  826CDE70 4 Bytes  [32, ED, B3, 8C] {XOR CH, CH; MOV BL, 0x8c}
.text          ...                                                                                             
.text          C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                        section is writeable [0x8F600380, 0x3559E2, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe[3428] kernel32.dll!ExitProcess  76783D62 5 Bytes  JMP 050520B4 C:\Program Files\Google\Google Desktop Search\GoogleServices.DLL (Google Desktop/Google)
.text          C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe[3428] USER32.dll!MessageBoxA    76F7D619 5 Bytes  JMP 0505205E C:\Program Files\Google\Google Desktop Search\GoogleServices.DLL (Google Desktop/Google)
.text          C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe[3428] USER32.dll!MessageBoxW    76F7D667 5 Bytes  JMP 05052089 C:\Program Files\Google\Google Desktop Search\GoogleServices.DLL (Google Desktop/Google)

---- Devices - GMER 1.0.15 ----

Device          \Driver\BTHUSB \Device\00000070                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\0000006e                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                        fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d00e1e                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d17b77                     
Reg            HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d00e1e (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d17b77 (not active ControlSet) 
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler@Heartbeat          0x40 0x07 0xAA 0xC4 ...

---- EOF - GMER 1.0.15 ----
--- --- ---

markusg 17.08.2012 19:21
hi
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Quaxborg 20.08.2012 10:47
Hi markusg,

hier der Inhalt des Combofix-Logfiles:
Combofix Logfile:
Code:
ComboFix 12-08-20.01 - admin 20.08.2012  10:45:03.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6001.1.1252.49.1031.18.3070.1876 [GMT 2:00]
ausgeführt von:: c:\users\admin\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\driver\TOUCHPAD\ALPS\_desktop.ini
c:\driver\TOUCHPAD\ALPS\Eula\_desktop.ini
c:\programdata\rmqkzsmirgoulim
c:\programdata\rvgbkgmr.exe
c:\windows\system\BisonCam.dll
c:\windows\system32\~GLH0005.TMP
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\WinIo.sys
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_WINIO
-------\Service_WINIO
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-07-20 bis 2012-08-20  ))))))))))))))))))))))))))))))
.
.
2012-08-20 09:15 . 2012-08-20 09:15        --------        d-----w-        c:\users\quax\AppData\Local\temp
2012-08-20 09:10 . 2012-08-20 09:10        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-08-17 08:32 . 2012-06-29 08:44        6891424        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{F409FBD5-3882-4432-9B04-4100CBF29316}\mpengine.dll
2012-08-16 08:47 . 2012-08-16 08:47        --------        d-----w-        c:\users\admin\AppData\Local\Macromedia
2012-08-14 05:40 . 2012-08-14 05:40        --------        d-----w-        c:\users\admin\AppData\Roaming\Malwarebytes
2012-08-14 05:39 . 2012-08-14 05:39        --------        d-----w-        c:\programdata\Malwarebytes
2012-08-14 05:39 . 2012-08-14 05:39        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-08-14 05:39 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-13 05:37 . 2012-08-13 05:37        --------        d-----w-        c:\programdata\kiwjcrufvprhija
2012-07-22 08:17 . 2012-07-22 08:17        --------        d-----w-        c:\users\quax\AppData\Local\Macromedia
2012-07-22 08:16 . 2012-07-22 08:16        426184        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-22 08:16 . 2012-02-29 10:07        70344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-16 17:35 . 2012-07-16 17:36        476976        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-07-16 17:35 . 2012-04-23 13:19        472880        ----a-w-        c:\windows\system32\deployJava1.dll
2012-05-31 10:25 . 2009-10-05 09:01        237072        ------w-        c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 08:32        279944        ----a-w-        c:\program files\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 09:08        2393184        ----a-w-        c:\program files\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-07-13 17418928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-07-18 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-18 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-18 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-01-18 4349952]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-11-07 159744]
"PowerManager"="c:\program files\Power Manager\PM.exe" [2007-03-13 29696]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-17 29744]
"Norman ZANDA"="c:\program files\Norman\Npm\Bin\ZLH.EXE" [2008-06-02 277616]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-11-30 77824]
"CamAppSTI.exe"="c:\program files\AVEO USB2.0 PC Camera\CamAppSTI.exe" [2009-01-04 28672]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        REG_MULTI_SZ          BthServ
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-17 23:00]
.
2012-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-17 09:40]
.
2012-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-17 09:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Free YouTube to Mp3 Converter - c:\users\admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 195.222.122.11 195.222.122.12
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\q0can66p.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
FF - Ext: Ask Toolbar for Firefox: {E9A1DEE0-C623-4439-8932-001E7D17607D} - %profile%\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe
HKLM-Run-Google EULA Launcher - c:\program files\Google\Google EULA\GoogleEULALauncher.exe
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
HKU-Default-Run-fsc-reg - c:\fsc-reg\fscreg.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien:
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Norman\Npm\Bin\Elogsvc.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\ehome\ehsched.exe
c:\windows\ehome\ehRecvr.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\ehome\ehmsas.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\windows\system32\sdclt.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-20  11:34:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-20 09:33
.
Vor Suchlauf: 8.760.856.576 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 15.077.150.720 Bytes frei
.
- - End Of File - - 2FBCCE156B1448F3A14245C48B8AA73A
--- --- ---

markusg 20.08.2012 16:13
hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.21.1767
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Quaxborg 20.08.2012 19:15
Hi markusg,

o.k. - ist gelaufen, hier die Liste:

Youtube Downloader HD v. 2.9.3 YoutubeDownloaderHD.com 29.05.2012 3,30MB unnötig
Windows Media Encoder 9-Reihe 29.11.2011 13,7MB unbekannt
Vista Codec Package Shark007 25.01.2009 50,5MB 5.1.0 unbekannt
Virtual DJ Home Edition - Atomix Productions 02.01.2012 15,5MB unnötig
Uninstall 1.0.0.1 27.02.2011 40,4MB unbekannt
Ulead VideoStudio 7 SE VCD Ulead Systems, Inc. 29.11.2011 76,3MB unnötig 7.0
Telescope Driver ANC 10.09.2009 156KB 1.0.20 unbekannt
SystemDiagnostics Fujitsu Siemens Computers 17.09.2008 14,6MB 2.00.0002 unbekannt
Skype™ 5.10 Skype Technologies S.A. 24.07.2012 19,4MB 5.10.116 unnötig
Samplitude Producer 2496 v6.0 28.09.2010 1,54GB unnötig
Realtek High Definition Audio Driver 20.08.2008 unbekannt
QuickTime 29.11.2011 4,88MB unbekannt
PowerDV CyberLink Corporation 17.09.2008 51,9MB 2.0.2120 unnötig
Power Manager 2.1.7 FIC, Inc. 20.08.2008 732KB 2.1.7 unbekannt
OpenOffice.org 3.3 OpenOffice.org 23.04.2012 432MB 3.3.9567 notwendig
NVIDIA Drivers 20.08.2008
Norman Security Suite Norman ASA 17.09.2008 118MB 7.00.0200 unbekannt
Nero 8 Essentials Nero AG 20.08.2008 1,64GB 8.10.368 unnötig
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 29.01.2010 1,33MB 4.20.9876.0 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 12.11.2008 1,27MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB941833) Microsoft Corporation 19.09.2008 1,26MB 4.20.9849.0 unbekannt
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 17.09.2008 1,26MB 4.20.9848.0 unbekannt
Mozilla Thunderbird (3.1.5) Mozilla 16.07.2012 33,3MB 3.1.5 (de)notwendig
Mozilla Firefox (3.0.19) Mozilla 16.08.2012 24,0MB 3.0.19 (de)notwendig
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 11.03.2012 11,1MB 10.0.40219 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 23.04.2012 590KB 9.0.30729.4148 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 16.10.2009 590KB 9.0.30729 unnötig
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 27.02.2011 342KB 8.0.59193 unnötig
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 26.06.2010 24,5MB 4.0.30319 unnötig
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 26.06.2010 120MB 4.0.30319 unnötig
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 22.08.2009 36,9MB unnötig
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 23.08.2009 36,9MB unnötig
Malwarebytes Anti-Malware Version 1.62.0.1300 Malwarebytes Corporation 14.08.2012 11,8MB 1.62.0.1300unbekannt
MAGIX Web Designer 6 Download-Version MAGIX AG 04.08.2010 132MB 6.0.1.12379 notwendig
KRISTAL Audio Engine 20.04.2010 8,57MB unnötig
Java(TM) 6 Update 33 Oracle 16.07.2012 95,6MB 6.0.330 unbekannt
InterVideo WinDVD 8 InterVideo Inc. 20.08.2008 83,9MB 8.0-B6.193 unnötig
HDAUDIO Soft Data Fax Modem with SmartCP Conexant 20.08.2008 728KB 7.65.00.00 unnötig
Google Updater Google Inc. 09.09.2011 3,59MB 2.4.2432.1652 unbekannt
Google Toolbar for Internet Explorer Google Inc. 14.08.2012 11,1MB 7.4.3203.136 unbekannt
Google SketchUp 6 Google 30.09.2008 64,3MB 6.0.01337 unbekannt
Google Earth Google 19.11.2011 92,7MB 6.1.0.5001 unnötig
Google Desktop Google 17.09.2008 6,64MB 5.7.0802.22438 unbekannt
FSCLounge Fujitsu Siemens Computers 17.09.2008 8,47MB 1.0.0 unbekannt
Free YouTube to MP3 Converter version 3.11.22.508 DVDVideoSoft Ltd. 29.05.2012 4,09MB 3.11.22.508 unnötig
Forte Free 2.0 02.08.2010 27,8MB unnötig
EPSON-Drucker-Software SEIKO EPSON Corporation 17.08.2009 notwendig
EPSON Stylus Photo R285_290 Handbuch 17.08.2009 4,77MB notwendig
EPSON Print CD 17.08.2009 20,8MB 1.60.000 unnötig
EPSON Easy Photo Print SEIKO EPSON CORPORATION 17.08.2009 84,4MB 1.5.0.0 unnötig
DVDVideoSoftTB Toolbar 27.02.2011 2,48MB unnötig
Drv My Company Name 28.09.2008 0,97MB 1.00.0000
Dir-It! Wirth New Media Sarl 16.09.2009 632KB 4.00.0000 unnötig
Compatibility Pack für 2007 Office System Microsoft Corporation 20.08.2008 56,1MB 12.0.4518.1014 unbekannt
CCleaner Piriform 24.07.2012 4,82MB 3.21 unbekannt
Bison WebCam 20.08.2008 unnötig
AVS4YOU Software Navigator 1.4 Online Media Technologies Ltd. 27.02.2011 8,41MB unnötig
AVS Video Converter 7 Online Media Technologies Ltd. 27.02.2011 36,7MB unnötig
AVS Update Manager 1.0 Online Media Technologies Ltd. 27.02.2011 11,8MB unnötig
Avira Free Antivirus Avira 08.08.2012 145MB 12.0.0.1167 unbekannt
AVEO USB2.0 PC Camera 29.11.2011 960KB 2.0.0.5 unnötig
Audacity 1.3.0 03.10.2010 10,3MB unnötig
Ask Toolbar Ask.com 06.08.2009 1,11MB 4.1.0.2 unbekannt
ALPS Touch Pad Driver 20.08.2008 unnötig
Ahnenblatt 2.59 Dirk Boettcher 08.02.2009 9,34MB 2.59.2.1 notwendig
Adobe Reader 9.1 - Deutsch Adobe Systems Incorporated 12.08.2009 234MB 9.1.0 unnötig
Adobe Flash Player 9 ActiveX Adobe Systems, Inc. 22.10.2008 2,65MB 9.0.124.0 unnötig
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 22.07.2012 11.3.300.265 unnötig
Add or Remove Adobe Creative Suite 3 Master Collection Adobe Systems Incorporated 22.10.2008 1.0 notwendig
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 17.09.2008 14,0MB unnötig
7-Zip 4.57 20.10.2008 2,86MB unnötig

markusg 22.08.2012 18:05
deinstaliere:
Youtube Downloader
Vista Codec
Virtual DJ
Ulead
Skype™
Samplitude
QuickTime
PowerDV
Norman
Nero
öffne firefox und thunderbird, hilfe, update, version 14ist da aktuell
Java
Download der kostenlosen Java-Software
downloade java jre instalieren

deinstaliere:
InterVideo
Google : alle
Free YouTube
Forte
DVDVideoSoftTB
Dir-It
Bison
AVS : alle
AVEO
Audacity
Ask
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



öffne ccleaner analysieren starten.
öffne otl bereinigen pc startet neu, testen wie er läuft

Quaxborg 23.08.2012 21:34
Hallo markusg,

erst einmal vorab many thanks für den exzellenten Support Eures Forums - laßt mich bitte wissen, wie man Euch am besten unterstützen kann ...

Nun aber zum Stand der Dinge meines Problems:

Ich habe gerade eben "spaßeshalber" einmal versucht, das infizierte Notebook von dem betroffenen User-account hochzufahren, und oh Wunder - es funktionierte ohne Probleme!

Mir ist klar, daß dies nicht bedeutet, daß der üble Trojaner restlos entfernt ist.
Andererseits habe ich in der Zwischenzeit parallel sozusagen "Plan B" verfolgt - soll heißen: ein neues Notebook angeschafft (die Investition wäre Anfang nächsten Jahres sowieso fällig gewesen) und alle für meine berufliche Tätigkeit notwendigen Programme installiert sowie die (mit Kasperski mehrfach auf Viren usw. gescannten) Daten überspielt - insofern bin ich erst einmal wieder arbeitsfähig.

Das einzige Problem, das ich im Moment noch habe, ist daß ich auf alle meine E-mails, die ich vor der Infizierung erhalten habe, im Moment nur auf dem alten Notebook zugreifen kann und nicht genau weiß, wie ich die auf das neue herüberschaffen kann. Mailprogramm auf beiden Rechnern ist Thunderbird.

Sobald ich diese Frage gelöst hätte, würde ich im Moment ehrlich gesagt dazu tendieren, noch einmal zu schauen, ob noch weitere Daten gesichert werden müßten, anschließend das alte Notebook völlig zu "killen" (Norton Wipe-Disk oder ähnliches) und es dann sozusagen "from scratch" neu zu konfigurieren.

Spräche da von Eurer Seite etwas dagegen - z.B. daß Ihr daran interessiert seid, weitere Informationen über diese Trojaner zu erhalten ???

Wie gesagt nochmals vielen Dank für den Support - bis ich von Euch höre, lasse ich alles erst einmal so wie es jetzt ist.

Thanks a lot,
Quax

markusg 28.08.2012 19:15
sorry für die wartezeit
so gehts:
Profile verwalten

Quaxborg 28.08.2012 21:26
Hallo markusg,

danke für den Tip - hat sich mittlerweile aber erledigt, ich habe mir "Mozbackup" heruntergeladen und damit mein altes Profil auf den neuen Rechner übertragen.

Den alten Rechner (der ja scheinbar wieder läuft) scanne ich gerade noch einmal mit Malwarebytes, wenn dabei nichts gefunden wird, werde ich erst einmal alles so lassen, wie es ist, überflüssige Programme deinstallieren (obwohl ich mir bei manchen immer noch nicht sicher bin, ob die nicht doch für irgendetwas notwendig sind) und abwarten was passiert.

Ich werde evtl. dann auch noch einmal die Festplatte(-n) bzw. Partitionen defragmentieren, wenn es dann noch einmal ein Problem geben sollte, kann ich den Rechner immer noch "plätten" und das System neu aufspielen - wichtige Daten und Programme sind jetzt eh' auf dem neuen Notebook, das ich dann auch nur noch für berufliche Zwecke nutzen werde, das alte wird dann die private Maschine für "Fun".

Wie schon gesagt noch einmal vielen Dank für die Hilfe,

so long,
Quax


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27