|
exp/cve-2012-4861 & trojan.spatet Hallo liebe Leute vom trojaner-board! habe leider auf meinem LT einige Schädlinge eingefangen. Habe mich im board etwas eingelesen und versucht die Anleitungen und Schritte einzuhalten. Ich hab letztes WE bemerkt, dass beim surfen im IE Eingaben mit dem touchboard nicht mehr richtig funktionieren, dh beim klicken (tapsen) auf die Bildlaufleiste kam ich wieder zurück auf die IE Startseite, das gleiche wenn man einen Menüpunkt auf einer Web-Seite ausgewählt hatte. Hab dann eine Maus angesteckt und mit der funktionierts wieder - aber nach einiger Zeit fingen die Tasten an auszufallen. Also versucht den Rechner herunterzufahren, auf das 'Ausschalten'-Icon geklickt, aber das System blieb im Stand-by status stehen. Erst nach 20-sekundigem Drücken der Ein/Aus Taste hat sich der Rechner endgültig ausgeschaltet und ich konnte ihn wieder starten. Hab gemäß eurer Anleitung die verschiedenen Scans durchgeführt (Logdateien hängen großteils als Anhang bei - OTL siehe unten) nur beim Gmer hat sich der Rechner nach einigen Stunden, meines Erachtens durch Überhitzung, äußerst lautstark verabschiedet. Hab den Scan dann sicherheitshalber nicht wiederholt. OTL logfile created on: 27.09.2012 16:24:01 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,88 Gb Available Physical Memory | 62,89% Memory free 6,19 Gb Paging File | 4,82 Gb Available in Paging File | 77,95% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 440,37 Gb Total Space | 201,86 Gb Free Space | 45,84% Space Free | Partition Type: NTFS Drive D: | 25,38 Gb Total Space | 12,37 Gb Free Space | 48,76% Space Free | Partition Type: FAT32 Computer Name: ***-PC | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.09.27 16:23:21 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe PRC - [2012.08.31 02:52:22 | 000,021,432 | ---- | M] () -- C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe PRC - [2012.08.31 02:52:12 | 000,964,024 | ---- | M] (Samsung) -- C:\Programme\Samsung\Kies\Kies.exe PRC - [2012.08.08 22:25:16 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.07.27 22:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.05.21 08:11:22 | 000,296,056 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\Update\realsched.exe PRC - [2012.05.08 20:26:15 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.08 20:26:13 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.08 20:26:13 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.08.17 13:15:28 | 000,534,880 | ---- | M] (Spigot, Inc.) -- C:\Programme\Common Files\Spigot\Search Settings\SearchSettings.exe PRC - [2010.01.15 14:49:20 | 000,255,536 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe PRC - [2009.04.11 08:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2008.10.29 17:20:34 | 000,070,656 | ---- | M] () -- C:\Programme\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe PRC - [2008.09.24 13:57:34 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe PRC - [2008.08.28 16:03:22 | 000,233,472 | ---- | M] () -- C:\Windows\tsnp2uvc.exe PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe PRC - [2007.06.05 14:20:32 | 000,177,704 | ---- | M] () -- C:\Windows\System32\PSIService.exe ========== Modules (No Company Name) ========== MOD - [2012.09.27 12:15:33 | 000,115,137 | ---- | M] () -- C:\Users\***\AppData\Local\Temp\fbe2808e-2380-4f14-a1fa-3fa9c3a364e8\CliSecureRT.dll MOD - [2012.08.31 02:52:22 | 000,021,432 | ---- | M] () -- C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe MOD - [2012.06.13 20:11:04 | 000,221,696 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\0e56badd6e20e2dc81c45cdff2326f6b\System.ServiceProcess.ni.dll MOD - [2012.06.13 19:39:45 | 013,198,336 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\d55bed00e3d36b0db5bd3994c77fe850\System.Windows.Forms.ni.dll MOD - [2012.06.13 19:29:03 | 018,019,840 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\063174e87d258ef1db040cbfbdd4cd31\PresentationFramework.ni.dll MOD - [2012.06.13 19:28:17 | 011,522,048 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationCore\984f8802a334d2ae862b66bf71332c10\PresentationCore.ni.dll MOD - [2012.06.13 19:27:38 | 003,881,984 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\WindowsBase\697786bb51408d41d980263d90a56d03\WindowsBase.ni.dll MOD - [2012.06.13 19:27:33 | 001,666,048 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\9abdaeea6a61127606bbc324d9177579\System.Drawing.ni.dll MOD - [2012.05.10 14:07:57 | 001,218,560 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\0189f9fb0ff0476b570aeadfc036ddd6\System.Management.ni.dll MOD - [2012.05.10 14:00:51 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Remo#\1a7c90bf70e6fef2970dd02ca5def39a\System.Runtime.Remoting.ni.dll MOD - [2012.05.10 13:59:40 | 001,782,272 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xaml\f91c92735c4a913143a0914c8cb531f2\System.Xaml.ni.dll MOD - [2012.05.10 13:56:26 | 000,595,968 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\fd52e266873de847aea40b1d0715e0bb\PresentationFramework.Aero.ni.dll MOD - [2012.05.10 13:49:23 | 007,069,184 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\500ffaf6258746eaf0bfc333ab534a51\System.Core.ni.dll MOD - [2012.05.10 13:49:20 | 005,617,664 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\b54a85f8f8f5ac297357c80b95834a90\System.Xml.ni.dll MOD - [2012.05.10 13:49:10 | 000,982,528 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\d131eefaea0ca120aaf11568d8e44cad\System.Configuration.ni.dll MOD - [2012.05.10 13:49:07 | 009,092,096 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System\360d70391adff56f1d029b1a538d2431\System.ni.dll MOD - [2012.05.10 13:48:54 | 014,415,360 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\97d737762adec957a2d7c80fafb4703a\mscorlib.ni.dll MOD - [2012.02.17 21:55:35 | 000,166,912 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2011.09.27 08:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 08:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2008.08.28 16:03:22 | 000,233,472 | ---- | M] () -- C:\Windows\tsnp2uvc.exe ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Windows\system32\IoctlSvc.exe -- (PLFlash DeviceIoControl Service) SRV - [2012.07.27 22:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.05.08 20:26:15 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.08 20:26:13 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.21 03:16:42 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2010.01.15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) SRV - [2008.10.29 17:20:34 | 000,070,656 | ---- | M] () [Auto | Running] -- C:\Programme\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe -- (resetWinService) SRV - [2008.09.24 13:57:34 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) SRV - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc) SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2007.06.05 14:20:32 | 000,177,704 | ---- | M] () [Auto | Running] -- C:\Windows\System32\PSIService.exe -- (ProtexisLicensing) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp) DRV - [2012.05.08 20:26:15 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.08 20:26:15 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.01.09 12:49:12 | 000,043,392 | ---- | M] (Realtek) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID) DRV - [2012.01.09 12:49:12 | 000,033,536 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB) DRV - [2012.01.09 12:49:10 | 000,189,184 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA) DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.06.02 07:47:22 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm) DRV - [2011.06.02 07:47:22 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) DRV - [2011.06.02 07:47:22 | 000,114,280 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadserd.sys -- (ssadserd) DRV - [2011.06.02 07:47:22 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) DRV - [2010.12.21 07:55:02 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdm.sys -- (sscdmdm) DRV - [2010.12.21 07:55:02 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdbus.sys -- (sscdbus) DRV - [2010.12.21 07:55:02 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdfl.sys -- (sscdmdfl) DRV - [2010.06.23 10:21:32 | 000,259,176 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.03 10:35:08 | 000,009,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\WinIo.sys -- (WINIO) DRV - [2009.02.10 07:38:00 | 007,547,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2008.09.24 17:09:48 | 000,045,600 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2008.07.10 12:12:56 | 001,753,984 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\snp2uvc.sys -- (SNP2UVC) DRV - [2008.05.27 03:07:58 | 000,050,560 | ---- | M] (Generic USB smartcard reader) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MHIKEY10.sys -- (MHIKEY10) DRV - [2008.04.28 15:29:26 | 003,658,752 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.kleinezeitung.at/steiermark/muerzzuschlag/stanz_im_muerztal/index.do IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.) IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKCU\..\SearchScopes\{1EA94CE7-5C30-425C-87FF-314DDD496A67}: "URL" = hxxp://at.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms} IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDC_deAT325 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33 FF - prefs.js..network.proxy.no_proxies_on: "*.local" FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_35: C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=13: C:\Program Files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll (Google) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpplugin;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.05.21 08:12:03 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.05.21 08:12:03 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.05.03 21:48:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.08.11 21:28:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.08.11 21:28:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\home2@tomtom.com [2012.05.06 17:16:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\um925l0d.default\extensions [2012.09.03 08:56:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.06.28 20:25:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2012.09.03 08:56:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2012.06.28 20:25:19 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2012.04.21 03:18:00 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2012.04.21 03:54:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.21 03:54:08 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2012.04.21 03:54:08 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2012.04.21 03:54:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.21 03:54:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.21 03:54:08 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - homepage: hxxp://www.google.com CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sou rceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms} CHR - homepage: hxxp://www.google.com CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\21.0.1180.89\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\21.0.1180.89\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\21.0.1180.89\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\K\u00F6nigshofer\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin2.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin3.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin4.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin5.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin6.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin7.dll CHR - plugin: NPCIG.dll (Enabled) = C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Google Updater (Enabled) = C:\Program Files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: Windows Live\u00AE Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll CHR - plugin: RealNetworks(tm) Chrome Background Extension Plug-In (32-bit) (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll CHR - plugin: RealPlayer(tm) HTML5VideoShim Plug-In (32-bit) (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit) (Enabled) = c:\program files\real\realplayer\Netscape6\nppl3260.dll CHR - plugin: RealPlayer Version Plugin (Enabled) = c:\program files\real\realplayer\Netscape6\nprpjplug.dll CHR - plugin: Shockwave for Director (Enabled) = C:\Windows\system32\Adobe\Director\np32dsw.dll CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - plugin: RealJukebox NS Plugin (Enabled) = c:\program files\real\realplayer\Netscape6\nprjplug.dll CHR - Extension: YouTube = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\ CHR - Extension: Google-Suche = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\ CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.5_0\ CHR - Extension: Google Mail = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\ O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Programme\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH) O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Hofer_FotoSuite_Download] C:\Program Files\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe (MAGIX AG) O4 - HKLM..\Run: [MDS_Menu] C:\Program Files\HomeCinema\MediaShow4\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files\HomeCinema\PowerDVD8\Language\Language.exe () O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [Skytel] C:\Programme\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [snp2uvc] C:\Windows\vsnp2uvc.exe File not found O4 - HKLM..\Run: [TkBellExe] c:\program files\real\realplayer\Update\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [tsnp2uvc] C:\Windows\tsnp2uvc.exe () O4 - HKLM..\Run: [UCam_Menu] C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found O4 - HKCU..\Run: [KiesPDLR] C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe () O4 - HKCU..\Run: [KiesPreload] C:\Program Files\Samsung\Kies\Kies.exe (Samsung) O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O15 - HKCU\..Trusted Domains: //@surf.mar@/ ([]money in Local intranet) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{29C0A392-E435-46E0-889B-FD6FC4B72757}: DhcpNameServer = 10.0.0.138 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C972CA16-2FE0-44AD-ABC2-41B8AD894E9C}: DhcpNameServer = 192.168.42.129 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D629F11D-18E3-4BC3-B0CC-DB26298802B2}: DhcpNameServer = 192.168.42.129 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\***\AppData\Roaming\Microsoft\Windows Live Photo Gallery\Windows Live Fotogalerie-Hintergrundbild.jpg O24 - Desktop BackupWallPaper: C:\Users\***\AppData\Roaming\Microsoft\Windows Live Photo Gallery\Windows Live Fotogalerie-Hintergrundbild.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2008.08.21 11:50:32 | 000,000,672 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.09.27 16:23:21 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2012.09.23 18:45:23 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2012.09.23 18:44:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.09.23 18:44:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.09.23 18:44:56 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2012.09.23 18:44:56 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2012.09.13 22:43:43 | 000,000,000 | ---D | C] -- C:\Users\***\Favorites\Documents\Plan4You [2012.08.31 16:50:51 | 000,000,000 | ---D | C] -- C:\Users\***\restore [2012.08.31 16:39:40 | 000,000,000 | ---D | C] -- C:\ProgramData\tmp [2012.08.31 16:39:40 | 000,000,000 | ---D | C] -- C:\ProgramData\hps [2012.08.31 16:39:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BIPA FotoShop [2012.08.31 16:31:25 | 000,000,000 | ---D | C] -- C:\Program Files\BIPA ========== Files - Modified Within 30 Days ========== [2012.09.27 16:23:21 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2012.09.27 16:21:03 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable [2012.09.27 16:20:21 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Defogger.exe [2012.09.27 16:06:19 | 000,065,801 | ---- | M] () -- C:\ProgramData\nvModes.001 [2012.09.27 16:06:01 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012.09.27 16:05:59 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2012.09.27 16:05:59 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2012.09.27 16:05:56 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012.09.27 16:05:51 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.09.27 16:05:44 | 3213,774,848 | -HS- | M] () -- C:\hiberfil.sys [2012.09.27 10:43:37 | 000,065,801 | ---- | M] () -- C:\ProgramData\nvModes.dat [2012.09.27 09:42:09 | 000,001,975 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk [2012.09.23 18:44:59 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk [2012.09.14 19:57:27 | 000,681,930 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2012.09.14 19:57:27 | 000,640,920 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2012.09.14 19:57:27 | 000,149,362 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2012.09.14 19:57:27 | 000,122,804 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2012.09.13 22:43:31 | 000,001,993 | ---- | M] () -- C:\Users\***\Desktop\Plan4You Easy.lnk [2012.09.09 16:43:05 | 000,030,208 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.09.07 21:38:06 | 001,731,493 | ---- | M] () -- C:\Users\***\Favorites\Documents\Relax-Schlafratgeberklein.pdf [2012.09.07 17:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2012.09.06 19:48:22 | 000,001,726 | -H-- | M] () -- C:\Users\***\Favorites\Documents\Default.rdp [2012.09.05 16:22:38 | 000,007,592 | ---- | M] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2012.08.31 16:39:33 | 000,000,981 | ---- | M] () -- C:\Users\***\Desktop\BIPA FotoShop.lnk ========== Files Created - No Company Name ========== [2012.09.27 16:21:03 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable [2012.09.27 16:20:20 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\Defogger.exe [2012.09.27 16:05:44 | 3213,774,848 | -HS- | C] () -- C:\hiberfil.sys [2012.09.23 18:44:59 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk [2012.09.13 22:43:31 | 000,002,023 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plan4You Easy.lnk [2012.09.13 22:43:31 | 000,001,993 | ---- | C] () -- C:\Users\***\Desktop\Plan4You Easy.lnk [2012.09.07 21:38:06 | 001,731,493 | ---- | C] () -- C:\Users\***\Favorites\Documents\Relax-Schlafratgeberklein.pdf [2012.09.01 18:17:06 | 000,000,981 | ---- | C] () -- C:\Users\***\Desktop\BIPA FotoShop.lnk [2012.08.25 19:14:57 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll [2011.11.08 20:57:03 | 000,000,000 | ---- | C] () -- C:\Users\***\AppData\Local\{0CD86A26-02C3-422E-AB21-D350C5E324E8} [2011.09.15 11:03:43 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2011.06.07 11:13:38 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll [2011.06.07 11:13:38 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll [2011.06.07 11:13:38 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll [2011.06.07 11:13:38 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll [2011.06.07 11:13:38 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe [2011.04.01 10:06:20 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI [2011.03.04 22:19:13 | 000,000,099 | ---- | C] () -- C:\Users\***\AppData\Local\fusioncache.dat [2011.03.04 20:22:10 | 000,001,024 | ---- | C] () -- C:\Users\***\.rnd [2011.03.04 20:21:50 | 000,000,000 | ---- | C] () -- C:\Windows\Irremote.ini [2009.10.27 22:59:12 | 000,001,644 | ---- | C] () -- C:\Users\***\AppData\Roaming\wklnhst.dat [2009.06.11 19:55:55 | 000,007,592 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2009.04.29 19:21:06 | 000,030,208 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.03.03 08:24:51 | 000,065,801 | ---- | C] () -- C:\ProgramData\nvModes.001 [2009.03.03 08:11:05 | 000,065,801 | ---- | C] () -- C:\ProgramData\nvModes.dat ========== ZeroAccess Check ========== [2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 08:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2010.10.10 09:17:47 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Canon [2011.09.15 11:03:49 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\pdfforge [2012.09.05 20:35:51 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Samsung [2012.05.04 19:47:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Teleca [2012.06.03 10:46:06 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Temp [2009.10.27 22:59:20 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Template [2012.07.04 16:04:39 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TerraTec [2010.08.11 21:28:03 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TomTom [2011.03.26 00:50:01 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TP ========== Purity Check ========== < End of report > Hoffe ihr könnt mir helfen den Rechner wiederherzustellen. Besten Dank im voraus! LG Helmut |
Hi, Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. |
Servus schrauber, danke für deine Hilfe. Hab mir gerade die aswMBR heruntergeladen, als Admin gestartet und den Scan begonnen. Nach ca. 2 Minuten hat sich der Rechner aufgehängt, blue screen und dann neu gebootet. Soll ich den Scan jetzt nochmals starten, abgesicherter Modus oder normales Windows? lg Helmut |
Ja aber klick nein bei der frage nach der avast scan engine. und bitte ab jetzt keine logs mehr anhängen, immer direkt in den thread posten. |
Hallo schrauber, das ist die logdatei des aswMBR scans. Schreib und editier das gerade vom Stand-PC da die Tasten auf dem LT verrückt spielen. lg Helmut PS: hat mich vor dem scan nicht nach der 'avast scan engine' gefragt aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-10-02 11:11:57 ----------------------------- 11:11:57.934 OS Version: Windows 6.0.6002 Service Pack 2 11:11:57.935 Number of processors: 2 586 0x170A 11:11:57.936 ComputerName: ***-PC UserName: *** 11:12:03.254 Initialize success 11:12:17.384 AVAST engine defs: 12100101 11:12:25.058 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 11:12:25.061 Disk 0 Vendor: Hitachi_HTS545050B9A300 PB4OC60G Size: 476940MB BusType: 3 11:12:25.163 Disk 0 MBR read successfully 11:12:25.167 Disk 0 MBR scan 11:12:25.173 Disk 0 Windows VISTA default MBR code 11:12:25.241 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 450941 MB offset 2048 11:12:25.286 Disk 0 Partition 2 00 0C FAT32 LBA MSWIN4.1 25997 MB offset 923529216 11:12:25.314 Disk 0 scanning sectors +976771072 11:12:25.476 Disk 0 scanning C:\Windows\system32\drivers 11:13:13.328 Service scanning 11:13:44.785 Modules scanning 11:14:33.448 Disk 0 trace - called modules: 11:14:33.476 ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys 11:14:33.485 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86013968] 11:14:33.493 3 CLASSPNP.SYS[8a7a98b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8571e030] 11:14:36.149 AVAST engine scan C:\Windows 11:15:46.712 AVAST engine scan C:\Windows\system32 11:25:03.875 AVAST engine scan C:\Windows\system32\drivers 11:26:59.602 AVAST engine scan C:\Users\*** 15:07:41.416 AVAST engine scan C:\ProgramData 15:12:40.346 Scan finished successfully 15:13:10.922 Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat" 15:13:10.930 The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt" |
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Hallo schrauber, der Rechner hat sich vorhin aufgehängt und beim Neustart fängt er nach ein paar Sekunden sehr laut zu piepsen an, hört sich wie eine Alarmanlage an. Hab jetzt eine halbe Stunde gewartet, aber bei jedem Neustart das Gleiche :-( Was nun???? Helmut |
Bis wohin bootet er denn? |
Er bootet bis zum 1. screen mit dem Intel logo und den 3 Menüpunkten F2 F3 F12 Boot menu Ich komme auch ins F12 Boot Menu mit den Auswahlmöglichkeiten: 2. IDE CD: TSSTcorp CD... 3. IDE HDD: Hitachi... 7. PCI BEV: Realteck Boot Agent Helmut |
Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Mit Windows CD/DVD
Wähle in den Reparaturoptionen Eingabeaufforderung
|
Hab den USB Stick angeschlossen und die Windows-CD eingelegt komm aber beim Bootvorgang nicht in die Reparaturoptionen! Bleib jedesmal hängen - vorher beim Screen mit dem Balken mit den 5 grünen Strichen und der c Microsoft Corporation - die Balken wandern schön und bleiben dann hängen. Jetzt kam ich 'irgendwie' in den Bootvorgang für den abgesicherten Modus und da hängt er jetzt beim laden von Windows-Dateien nach der Zeile: Loaded: \Windows\system32\drivers\crcdisk.sys und sagt Bitte warten... Der Ventilator läuft auf Hochtouren aber sonst rührt sich nichts. Helmut Halt! jetzt bin ich im abgesicherten Modus im System! Hurrrra! Könnte ich die ComboFix auch über den USB Stick übertragen? |
Ja, das sollte funktionieren :) |
So, hab jetzt den ComboFix scan gemacht - aber leider nicht als Administrator ausgeführt - poste das Log aber trotzdem mal. Hoffe ich krieg das mit dem Code hin Code: ComboFix 12-10-02.02 - *** 02.10.2012 20:32:59.1.2 - x86 MINIMALHa, und sogar das posten mit Code gecheckt:-) |
Mach mal und poste dann das Logfile :) |
Und da ist es: Code: ComboFix 12-10-02.02 - *** 02.10.2012 20:32:59.1.2 - x86 MINIMALHelmut |
An der Stelle wo du Abgesicherten Modus auswählst sollte eigentlich auch die Computer-Reaparaturoption sein, dann solltest Du FRST laufen lassen können. Der Rechner bootet gar nicht mehr in den Normalmodus? |
Guten Morgen, heute kam ich wieder in den normalen Windowsmodus. (aber ohne die Auswahlmöglichkeiten - abgesichert, abgesichert mit Netzwerk, etc.) Ich finde jedoch diese 'Reparaturoptionen' nicht!!! I ch komme mit F2 oder F3 ins Medion System Recovery mit den Optionen 1. Systemherstellung ohne Datensicherung X. Abbruch Ist es das? Helmut |
Drück mal beim Hochfahren F8 ein paar mal , da wo auch der abgesicherte Modus zur Auswahl steht ist auch die Reparaturoption. Aber wenn du im Normalen Modus bist poste bitte mal ein OTL log. |
Anbei das OTL log: Code: OTL logfile created on: 03.10.2012 08:16:13 - Run 2Probier jetzt nochmals die Reparaturoption Helmut |
Und gib mir bitte mal ein Update welche Probleme noch bestehen. |
Hallo schrauber, es ist mühsam! Bin jetzt "irgendwie" (kann's wirklich nicht nachvollziehen!) in die Reparaturoption gekommen, komm in die Eingabeaufforderung - kann aber laptop nicht eingeben, da die Tastatur nicht funktioniert:killpc: Ich schreib 'la' und beim 'p' löscht er die zwei Buchstaben wieder! Aber ich komm auch auf keine Logik dahinter beim nächsten Versuch schreib ich l und das a löscht das l wieder. Helmut PS: der Alarmton beim hochfahren hat sich nicht mehr so extrem lange gehalten. Vielleicht liegst aber daran, dass ich wirklich 7-10 mal die F8 Taste gedrückt habe. |
Ja wenn man die Taste zu oft drückt piepst es :) Lass die Rep-Option mal weg. Wenn du im Normalmodus bist, hast Du dann noch Probleme? Malwarebytes' Anti-Malware
ESET Online Scanner
|
"Ja wenn man die Taste zu oft drückt piepst es" Das ist es ja, wenn ich beim hochfahren nichts drücke piepst's fürchterlich - mit mehrmals F8 ist's dann weg und der Rechner bootet mit CD ins Normal-Windows. Im Normalmodus das gleiche Problem mit der Tastatur - Ein Buchstabe geht, der nächste geht nicht, der dritte löscht das vorhergehende wieder weg. Rücktaste geht gar nicht. Ich mach mal die Sachen mit Malwarebytes & ESET. Helmut |
Zitat:
Normalmodus definiert sich dadurch dass er von Festplatte bootet, was machst du mit der cd? |
Code: Malwarebytes Anti-Malware 1.65.0.1400Mach jetzt mal den Scan mit ESET. Helmut |
CD raus, rechner neu starten. Fährt er problemlos hoch? |
Hallo, das ist das log vom ESET scan. Code: C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Toolbar.Widgi applicationSo, CD raus! Hochfahren geht ohne weiteres nicht: Einschalten - lautes kontinuierliches piepsen - nach 10 sek ein einmaliges Aussetzen vom Piepston - wieder lautes piepsen und so weiter. Nach etwa 5x dieses Spiels hab ich 5-6x F8 gedrückt dann fährt er wieder hoch, d.h. beim screen mit c Microsoft Corporation bleibt er hängen - 1x Entertaste gedrückt dann geht's weiter und er startet im Normalmodus. Editor aufgemacht - Tastatur spinnt immer noch, die gleichen Symptome wie vorhin. |
Was für eine CD ist das von der du bootest? Versuch bitte nochmal in die Reparaturoptionen zu kommen, aber ohne FRST, einfach wenn Du im Menü bist "Startreparatur" wählen. |
Guten Morgen, die CD ist schon lange raus aus dem Laufwerk. Das ist die originale Medion Recovery Disc für Windows Vista 32 bit die mit dem LT mitkam. Versuch jetzt wieder in diese Reparaturoptionen zu kommen - halt jetzt hab ichs: Beim piepsenden hochfahren 2-3x F8 dann kommt der screen mit F2, F3 & F8 - da ESC drücken, dann kommt man in den Windows-Start-Manager und dann F8 für die Erweiterten Startoptionen Code: Erweiterte Optionen auswählen für: Microsoft Windows VistaHelmut PS: hab das mal alles mitdokumentiert, damit ich's später wieder nachvollziehen kann :-) |
Vista-Recovery-CDs zum kostenlosen Download Lad dir von dort die dem system entsprechende Recovery Cd, brenn sie und boot von der, dort solltest du die Rep-Optionen finden und FRST ausführen können. |
Hallo, hab mir die Recovery CD gebrannt, damit gebootet, bin in die Reparaturoptionen und das System hat die Systemstartreparatur gestartet. Rechner läuft jetzt bei Reparaturen werden ausgeführt... Resultat: Code: Die Starthilfe kann diesen Computer nicht automatisch reparierenund da steh ich nun, ich armer Tor... Jedenfalls kann ich nachher in den Systemwiederherstellungsoptionen bei Eingabeaufforderung immer noch kein notepad eingeben, die Tasten spinnen immer noch:-( |
Ja aber du kommst schonmal dahin :) Also jetzt FRST von der obigen Anleitung laufen lassen. |
Versuch ich gleich |
alles klar :) |
Guten Morgen, so, jetzt hat's geklappt. Komisch, zuerst spielt die Tastatur total verrückt und 10 sec. später kann man wieder ordentlich Zeichen eingeben und dann geht wieder nix:confused: Hier das FRST-Log: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-09-2012 01 |
Gib mir mal bitte nochmal kurz ein Update welche Probleme jetzt noch bestehen, die Logs sind sauber. |
Das sind meine Eindrücke. Programme hab ich keine getestet, aber ich benutz den LT hauptsächlich zum surfen und Bilder speichern/bearbeiten. Ich würde jetzt mal gerne eine Sicherung meiner Daten auf eine externe Festplatte machen -spricht nichts dagegen, oder??? Helmut |
Nee ist sogar sinnvoll. Irgendwie hab ich den Verdacht dass sie da in naher Zukunft ne Hardware verabschiedet. Sicher alles und gib mir Bescheid wenn du durch bist, dann können wir bissl probieren. Das ist ein Desktop PC oder? Hast Du noch einen um evtl mal Keyboard/Maus zu tauschen? |
Nein, der infizierte ist mein Laptop. Ich mach mal eine Sicherung und meld mich dann. |
alles klar :) |
So, Sicherung ist fertig :-) |
Dann gib mir mal genaue Infos zum Laptop. Marke/Modell. Seriennummer findest du unten drunter, diese bitte per Privater Nachricht. |
Hi, MEDION - Treiber Download Von hier Chipsatz und Touchpad treiber laden und installieren. Wann/Wo genau treten die Probleme mit Keyboard und Co auf? |
Guten Morgen schrauber, ich hab die Treiber jetzt installiert. Beim erforderlichen Neustart das gleiche mit dem lauten Piepston, der erst mit F8 wegging und dann bootet der Rechner. Touchpad funktioniert. Tastatureingabe funktioniert immer noch nicht (siehe oben) Beim öffnen vom Explorer ist wieder das hin-und herflackern eingetreten, und zwar zwischen: Code: C:\Benutzer\***\AppData\Roaming\Microsoft\WindowsHab mir dann die Einträge in der Systemsteuerung anschauen wollen und da kam dann bei 'Autostartprogramme ändern' sofort die folgende Fehlermeldung vom Windows-Defender: Code: Fehler bei Anwendungsinitialisierung. 0x800106ba. Der Dienst deses Programms wurde aufgrund eines Problems angehalten. Führen Sie zum Starten des Dienstes einen Neustart aus...Helmut |
|
Hallo, Fixit hat über download nicht funktioniert, hab's manuell auf 'automatisch' eingestellt und komm jetzt auch in die Systemsteuerung. Sonst wie gehabt. Helmut |
Kannst du mit der gebrannten Recovery CD ne Rep-Installation ausführen? |
Meinst du die Systemwiederherstellungsoptionen in den Reparaturoptionen oder Windows installieren beim ersten Schirm? |
|
Hab's mir durchgelesen und wenn ich's richtig versteh brauch ich jetzt auch den Product-Key und wenn's nicht funktioniert auch die Vista-DVD SP2. Für die Product-Key Suche (meinen kann ich nicht mehr lesen, da die Hersteller den genau dorthin platzieren, wo sich bei einem Laptop die Schenkelauflage befindet :-o ) hab ich gegoogelt und mehrere Sharewareanbieter gefunden - kannst du was spezielles empfehlen? Wenn ich's dann hab probier ich die Rep. Helmut |
Uhm, nö da muss ich leider passen. Ich dachte das geht so. Da wäre es ja fasst einfacher deine pserönlichen Daten zu sichern und neu aufzusetzen.... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board
