Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU hartnäckig trotz Avira und Kaspersky Windows Unlock (https://www.trojaner-board.de/128639-gvu-hartnaeckig-trotz-avira-kaspersky-windows-unlock.html)

jdjd 27.12.2012 00:42
GVU hartnäckig trotz Avira und Kaspersky Windows Unlock
 
Liebes Board,

vor ein paar Stunden habe ich mir diesen GVU-Mist eingefangen, jetzt kann ich Windows (Vista) nicht mal mehr im abgesicherten Modus benutzen. Manchmal erscheint auch nicht der GVU-Bildschirm, sondern ein komplett leerer Desktop.

Ich habe die Avira Rescue-CD benutzt, außerdem den Windows Unlocker von Kaspersky - Ergebnis gleich null.

Die Avira-CD hat etwas gefunden und gelöscht, den Namen weiß ich leider nicht, es war irgendetwas mit Java.

In einem anderen Thread habe ich den Hinweis auf srep.exe gefunden.

Die Datei shell.txt sagt folgendes:

Code:

WIN_VISTA X86 Service Pack 2
Running from J:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [MedionVFD] = "C:\Program Files\Medion Info Display\MdionLCMLH.exe"
HKLM\..\Run [RtHDVCpl] = RtHDVCpl.exe
HKLM\..\Run [Adobe ARM] = "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [TrayServer] = C:\Program Files\MAGIX\Movies_on_DVD_TV_Edition\TrayServer.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\..\Run [Windows Mobile-based device management] = %windir%\WindowsMobile\wmdSync.exe
HKLM\..\Run [Philips Device Listener] = "C:\Program Files\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe"
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-2059240202-2601545323-901752612-1000\..\Winlogon; Shell =
HKU\S-1-5-21-2059240202-2601545323-901752612-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-2059240202-2601545323-901752612-1000\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

==== FINISH 27.12-00.17 ====
Wäre jemand so nett, mir zu sagen, ob es noch Sinn macht, andere Möglichkeiten auszuprobieren oder ob ich den PC direkt formatieren soll? Ich kann leider keine Programm auf dem infizierten Rechner starten, da, wie gesagt, nicht mal der abgesicherte Modus funktioniert. Ich würde die Formatierung natürlich gerne umgehen.

t'john 27.12.2012 03:02
:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

jdjd 27.12.2012 11:25
Hallo John,

erstmal vielen Dank für die Antwort.

Es gibt leider ein Problem. Nachdem die CD einige Zeit im Laufwerk rumwerkelt, erscheint kurz ein Bildschirm, dass Windows hochfährt. Danach folgt diese Meldung:

A problem has been detected and windows has been shot down to prevent damage to your computer.

If this is the first time you 've seen this error screen, restart the computer. If the screen appears again, follow these steps:

Check for viruses on your computer. Remove any newly intalled hard drives or hard drive controllers. Check your hard drive to make sure it is properly configured and terminated. Run CHKDSK /F to check for hard drive corruption, and then restart your computer.

Technical information:

*** STOP: 0x0000007B (OxF78DA528, 0xc0000034, 0x00000000, 0x00000000)

Grüße

Jörg

t'john 27.12.2012 16:51
Bitte ins BIOS gehen und dort unter SATA-Einstellungen von AHCI auf IDE Modus umstellen.

jdjd 27.12.2012 17:45
Danke!

Umstellung hat funktioniert, danach konnte von der CD gebootet werden.

Die Datei otl.txt ist erstellt worden und hat sich automatisch geöffnet, die DAtei extras.txt ist nicht erzeugt worden. Ich habe 2 Versuche gestartet und hinterher auch automatisch nach der Datei suchen lassen, sie ist nicht da.

Hier der Inhalt von olt.txt:

OTL Logfile:
Code:
OTL logfile created on: 12/27/2012 5:14:31 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 391.47 Gb Total Space | 363.60 Gb Free Space | 92.88% Space Free | Partition Type: NTFS
Drive G: | 97.66 Gb Total Space | 95.22 Gb Free Space | 97.51% Space Free | Partition Type: NTFS
Drive H: | 442.38 Gb Total Space | 414.17 Gb Free Space | 93.62% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/12/26 09:57:57 | 000,192,512 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Users\Jörg\wgsdgsdgdsgsd.dll -- (Winmgmt)
SRV - [2012/12/23 12:34:10 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/12/23 12:33:14 | 000,565,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/12/23 12:33:03 | 000,400,160 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012/12/23 12:33:01 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/12/23 12:33:00 | 000,656,672 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2012/12/11 13:26:12 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/12/05 16:59:32 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/11/09 05:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/07/27 15:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2009/06/18 08:19:30 | 000,935,208 | ---- | M] (Nero AG) [Auto] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008/01/20 21:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/20 21:23:24 | 000,365,568 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2008/01/20 21:23:24 | 000,167,936 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
SRV - [2005/11/17 08:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand] -- C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2012/12/23 12:34:52 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012/12/23 12:34:51 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/12/23 12:34:50 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/12/23 12:34:50 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/12/23 12:34:49 | 000,112,584 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avfwot.sys -- (avfwot)
DRV - [2012/12/23 12:34:49 | 000,092,008 | ---- | M] (Avira GmbH) [Kernel | On_Demand] -- C:\Windows\System32\drivers\avfwim.sys -- (avfwim)
DRV - [2008/07/22 03:21:08 | 000,015,872 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2008/07/07 20:32:52 | 001,050,656 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007/07/30 03:50:56 | 000,908,832 | ---- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand] -- C:\Windows\System32\drivers\PhilCap.sys -- (PhilCap)
DRV - [2007/02/05 03:22:02 | 000,134,888 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\RtHDMIV.sys -- (RTHDMIAzAudService)
DRV - [2006/11/30 08:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Jörg_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
IE - HKU\Jörg_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Jörg_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.spiegel.de"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\System32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.3:  File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/12/05 16:59:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012/12/05 16:59:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012/12/05 15:40:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2012/09/14 15:11:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jörg\AppData\Roaming\Mozilla\Extensions
[2012/09/14 15:11:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jörg\AppData\Roaming\Mozilla\Extensions\songbird@songbirdnest.com
[2012/12/25 03:09:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\1xl7j3jn.default\extensions
[2012/11/21 18:47:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\1xl7j3jn.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012/12/20 19:27:23 | 000,000,000 | ---D | M] (Flash and Video Download) -- C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\1xl7j3jn.default\extensions\{bee6eb20-01e0-ebd1-da83-080329fb9a3a}
[2012/09/09 07:19:19 | 000,002,057 | ---- | M] () -- C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\1xl7j3jn.default\searchplugins\youtube-videosuche.xml
[2012/12/05 16:59:28 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
File not found (No name found) --
File not found (No name found) -- C:\USERS\JöRG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1XL7J3JN.DEFAULT\EXTENSIONS\{19503E42-CA3C-4C27-B1E2-9CDB2170EE34}.XPI
File not found (No name found) -- C:\USERS\JöRG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1XL7J3JN.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\JöRG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1XL7J3JN.DEFAULT\EXTENSIONS\{BEE6EB20-01E0-EBD1-DA83-080329FB9A3A}
[2012/12/05 16:59:32 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012/06/28 10:42:00 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2012/09/05 21:07:37 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/09/05 21:07:37 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012/09/05 21:07:37 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012/09/05 21:07:37 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/09/05 21:07:37 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/09/05 21:07:37 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 16:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKU\Jörg_ON_C\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [MedionVFD] C:\Program Files\Medion Info Display\MdionLCMLH.exe (Dritek System Inc.)
O4 - HKLM..\Run: [Philips Device Listener] C:\Program Files\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [TrayServer] C:\Program Files\MAGIX\Movies_on_DVD_TV_Edition\Trayserver.exe (MAGIX AG)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O8 - Extra context menu item: Free YouTube Download - C:\Users\Jörg\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -  File not found
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -  File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 16:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{23d10878-fe91-11e1-9d21-0024215968a8}\Shell - "" = AutoRun
O33 - MountPoints2\{23d10878-fe91-11e1-9d21-0024215968a8}\Shell\AutoRun\command - "" = J:\Setup.exe
O33 - MountPoints2\{4b8ffe24-f923-11e1-9cd1-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4b8ffe24-f923-11e1-9cd1-806e6f6e6963}\Shell\AutoRun\command - "" = D:\reatogoMenu.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/12/26 16:08:09 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/12/24 04:52:15 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012/12/23 12:39:38 | 000,000,000 | ---D | C] -- C:\Users\Jörg\AppData\Roaming\Avira
[2012/12/23 12:39:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012/12/23 12:39:07 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012/12/23 12:39:06 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012/12/23 12:39:06 | 000,112,584 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys
[2012/12/23 12:39:06 | 000,092,008 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys
[2012/12/23 12:39:06 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012/12/23 12:39:06 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012/12/23 12:39:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012/12/23 12:39:05 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012/12/21 10:54:40 | 000,293,376 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2012/12/21 10:54:40 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2012/12/12 17:32:06 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/12/12 17:32:05 | 000,420,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\vbscript.dll
[2012/12/12 17:32:05 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/12/12 17:32:05 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2012/12/12 17:32:05 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/12/12 17:32:04 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012/12/12 17:32:04 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2012/12/12 17:32:04 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2012/12/12 17:32:04 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/12/12 17:32:03 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012/12/12 16:51:19 | 002,048,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012/12/12 16:51:17 | 000,376,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dpnet.dll
[2012/12/12 16:51:17 | 000,023,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dpnsvr.exe
[2012/12/12 16:51:14 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2012/12/10 16:20:55 | 000,000,000 | ---D | C] -- C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hardcopy - Bildschirmausdruck
[2012/12/10 16:20:51 | 000,000,000 | ---D | C] -- C:\Program Files\Hardcopy
[2012/12/10 16:20:39 | 001,707,520 | ---- | C] (www.sw4you.de Siegfried Weckmann) -- C:\Windows\SwSetupu.exe
[2012/12/08 08:20:35 | 000,000,000 | R--D | C] -- C:\Program Files\Skype
[2012/12/08 08:20:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012/12/08 08:20:35 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012/12/05 16:59:28 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2012/12/05 15:40:26 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Thunderbird
[2012/11/29 02:12:34 | 000,000,000 | ---D | C] -- C:\Users\Jörg\Desktop\AK
 
========== Files - Modified Within 30 Days ==========
 
[2012/12/27 09:59:40 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/12/27 09:58:52 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/12/27 09:57:59 | 000,000,680 | ---- | M] () -- C:\Users\Jörg\AppData\Local\d3d9caps.dat
[2012/12/27 09:57:52 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/12/27 09:57:52 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/12/26 18:25:15 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/12/26 11:22:15 | 000,288,056 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012/12/26 09:58:05 | 000,002,887 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2012/12/26 09:58:05 | 000,000,884 | ---- | M] () -- C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012/12/26 06:48:36 | 000,036,577 | ---- | M] () -- C:\Users\Jörg\Desktop\121213.jpg
[2012/12/26 05:16:34 | 000,617,456 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/12/26 05:16:34 | 000,586,568 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/12/26 05:16:34 | 000,122,258 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/12/26 05:16:34 | 000,100,640 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/12/23 12:39:28 | 000,001,847 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012/12/23 12:39:28 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012/12/23 12:34:52 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012/12/23 12:34:51 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012/12/23 12:34:50 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012/12/23 12:34:50 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012/12/23 12:34:49 | 000,112,584 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys
[2012/12/23 12:34:49 | 000,092,008 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys
[2012/12/23 09:17:05 | 001,959,043 | ---- | M] () -- C:\Users\Jörg\Desktop\bellers_sarrazin.pdf
[2012/12/18 18:36:49 | 000,021,401 | ---- | M] () -- C:\Users\Jörg\Desktop\eu afrika.nvc
[2012/12/18 18:33:58 | 002,564,850 | ---- | M] () -- C:\Users\Jörg\Desktop\v_2010_03_01_kohte_faber.pdf
[2012/12/18 18:16:54 | 000,018,944 | ---- | M] () -- C:\Users\Jörg\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/12/18 17:35:19 | 000,000,069 | ---- | M] () -- C:\Windows\NeroDigital.ini
[2012/12/17 13:48:24 | 010,796,186 | ---- | M] () -- C:\Users\Jörg\Desktop\ltv_15_1071.pdf
[2012/12/16 08:12:54 | 000,034,304 | ---- | M] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2012/12/16 05:50:29 | 000,293,376 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2012/12/13 11:15:24 | 000,254,380 | ---- | M] () -- C:\Users\Jörg\Desktop\Kurzkommentar_SchulG.pdf
[2012/12/12 15:57:41 | 000,119,789 | ---- | M] () -- C:\Users\Jörg\Desktop\45169-1x2-galerie.jpg
[2012/12/11 15:50:29 | 001,718,888 | ---- | M] () -- C:\Users\Jörg\Desktop\gesamtausgabe schule von a bis z 2012 stand 1-8-12.pdf
[2012/12/11 13:26:08 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012/12/11 13:26:08 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012/12/10 16:12:42 | 001,600,793 | ---- | M] () -- C:\Users\Jörg\Desktop\stötzel.xps
[2012/12/10 13:18:32 | 000,524,072 | ---- | M] () -- C:\Users\Jörg\Desktop\IP_05_Rüttgers.pdf
[2012/12/08 08:20:35 | 000,001,880 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012/12/08 08:20:35 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012/12/06 12:47:46 | 001,201,276 | ---- | M] () -- C:\Users\Jörg\Desktop\1_640x480.mp4
[2012/12/05 16:06:49 | 000,000,182 | ---- | M] () -- C:\Users\Jörg\AppData\Roaming\default.rss
[2012/12/05 16:04:02 | 159,781,873 | ---- | M] () -- C:\Users\Jörg\Desktop\Quarks _ Co_ Bist Du reich genug - vom 12.04.2011.flv
[2012/12/05 15:22:16 | 036,521,645 | ---- | M] () -- C:\Users\Jörg\Desktop\Mit offenen Karten - Ungleiche Globalisierung - Juni 2007.flv
[2012/12/05 13:45:19 | 023,464,466 | ---- | M] () -- C:\Users\Jörg\Desktop\Doppelbelastung - Studium und Nebenjob.flv
[2012/12/01 15:05:09 | 003,060,923 | ---- | M] () -- C:\Users\Jörg\Desktop\9T0HXR.pdf
[2012/11/30 12:20:26 | 000,022,084 | ---- | M] () -- C:\Users\Jörg\Desktop\airberlin - Flüge nach 2 Berlin und Düsseldorf _ airberlin.pdf
[2012/11/30 12:19:18 | 000,599,311 | ---- | M] () -- C:\Users\Jörg\Desktop\airberlin - Flüge nach Berlin und Düsseldorf _ airberlin.pdf
 
========== Files Created - No Company Name ==========
 
[2012/12/26 09:58:05 | 000,002,887 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2012/12/26 09:58:05 | 000,000,884 | ---- | C] () -- C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012/12/26 09:58:01 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/12/26 06:48:35 | 000,036,577 | ---- | C] () -- C:\Users\Jörg\Desktop\121213.jpg
[2012/12/23 12:39:28 | 000,001,847 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012/12/23 09:17:05 | 001,959,043 | ---- | C] () -- C:\Users\Jörg\Desktop\bellers_sarrazin.pdf
[2012/12/18 18:33:58 | 002,564,850 | ---- | C] () -- C:\Users\Jörg\Desktop\v_2010_03_01_kohte_faber.pdf
[2012/12/18 16:07:59 | 000,021,401 | ---- | C] () -- C:\Users\Jörg\Desktop\eu afrika.nvc
[2012/12/17 13:48:24 | 010,796,186 | ---- | C] () -- C:\Users\Jörg\Desktop\ltv_15_1071.pdf
[2012/12/13 11:15:24 | 000,254,380 | ---- | C] () -- C:\Users\Jörg\Desktop\Kurzkommentar_SchulG.pdf
[2012/12/12 15:57:41 | 000,119,789 | ---- | C] () -- C:\Users\Jörg\Desktop\45169-1x2-galerie.jpg
[2012/12/11 15:50:23 | 001,718,888 | ---- | C] () -- C:\Users\Jörg\Desktop\gesamtausgabe schule von a bis z 2012 stand 1-8-12.pdf
[2012/12/10 16:12:35 | 001,600,793 | ---- | C] () -- C:\Users\Jörg\Desktop\stötzel.xps
[2012/12/10 13:18:32 | 000,524,072 | ---- | C] () -- C:\Users\Jörg\Desktop\IP_05_Rüttgers.pdf
[2012/12/06 12:46:51 | 001,201,276 | ---- | C] () -- C:\Users\Jörg\Desktop\1_640x480.mp4
[2012/12/05 15:29:15 | 159,781,873 | ---- | C] () -- C:\Users\Jörg\Desktop\Quarks _ Co_ Bist Du reich genug - vom 12.04.2011.flv
[2012/12/05 15:15:01 | 036,521,645 | ---- | C] () -- C:\Users\Jörg\Desktop\Mit offenen Karten - Ungleiche Globalisierung - Juni 2007.flv
[2012/12/05 13:41:57 | 023,464,466 | ---- | C] () -- C:\Users\Jörg\Desktop\Doppelbelastung - Studium und Nebenjob.flv
[2012/12/01 15:05:09 | 003,060,923 | ---- | C] () -- C:\Users\Jörg\Desktop\9T0HXR.pdf
[2012/11/30 12:20:26 | 000,022,084 | ---- | C] () -- C:\Users\Jörg\Desktop\airberlin - Flüge nach 2 Berlin und Düsseldorf _ airberlin.pdf
[2012/11/30 12:19:18 | 000,599,311 | ---- | C] () -- C:\Users\Jörg\Desktop\airberlin - Flüge nach Berlin und Düsseldorf _ airberlin.pdf
[2012/11/25 11:26:38 | 000,000,000 | ---- | C] () -- C:\Users\Jörg\AppData\Roaming\downloads.m3u
[2012/09/27 13:46:08 | 000,000,552 | ---- | C] () -- C:\Users\Jörg\AppData\Local\d3d8caps.dat
[2012/09/14 15:42:48 | 000,000,182 | ---- | C] () -- C:\Users\Jörg\AppData\Roaming\default.rss
[2012/09/14 15:42:31 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2012/09/09 04:45:15 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2012/09/09 04:44:37 | 000,007,119 | ---- | C] () -- C:\Windows\mgxoschk.ini
[2012/09/09 03:28:04 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2012/09/09 03:28:04 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2012/09/09 03:27:47 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2012/09/08 07:27:11 | 000,089,430 | ---- | C] () -- C:\Windows\System32\EPPICPrinterDB.dat
[2012/09/08 07:27:11 | 000,026,154 | ---- | C] () -- C:\Windows\System32\EPPICPattern1.dat
[2012/09/08 07:27:11 | 000,024,903 | ---- | C] () -- C:\Windows\System32\EPPICPattern3.dat
[2012/09/08 07:27:11 | 000,021,390 | ---- | C] () -- C:\Windows\System32\EPPICPattern5.dat
[2012/09/08 07:27:11 | 000,020,148 | ---- | C] () -- C:\Windows\System32\EPPICPattern2.dat
[2012/09/08 07:27:11 | 000,011,811 | ---- | C] () -- C:\Windows\System32\EPPICPattern4.dat
[2012/09/08 07:27:11 | 000,004,943 | ---- | C] () -- C:\Windows\System32\EPPICPattern6.dat
[2012/09/08 07:27:11 | 000,001,146 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_DU.dat
[2012/09/08 07:27:11 | 000,001,139 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_PT.dat
[2012/09/08 07:27:11 | 000,001,139 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_BP.dat
[2012/09/08 07:27:11 | 000,001,136 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_ES.dat
[2012/09/08 07:27:11 | 000,001,129 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_FR.dat
[2012/09/08 07:27:11 | 000,001,129 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_CF.dat
[2012/09/08 07:27:11 | 000,001,120 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_IT.dat
[2012/09/08 07:27:11 | 000,001,107 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_GE.dat
[2012/09/08 07:27:11 | 000,001,104 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_EN.dat
[2012/09/08 07:27:11 | 000,000,099 | ---- | C] () -- C:\Windows\System32\PICSDK.ini
[2012/09/08 07:24:50 | 000,000,025 | ---- | C] () -- C:\Windows\CDE DX4200EFGIPSD.ini
[2012/09/08 05:58:57 | 000,018,944 | ---- | C] () -- C:\Users\Jörg\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/09/08 02:59:26 | 000,004,767 | ---- | C] () -- C:\Windows\Irremote.ini
[2012/09/07 15:06:15 | 000,009,760 | ---- | C] () -- C:\Windows\System32\716xCoInstaller.dll
[2012/09/07 15:05:08 | 000,004,984 | R--- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2012/09/07 14:43:33 | 000,000,680 | ---- | C] () -- C:\Users\Jörg\AppData\Local\d3d9caps.dat
[2008/01/21 02:15:58 | 000,617,456 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/01/21 02:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/01/21 02:15:58 | 000,122,258 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/01/21 02:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 07:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 07:47:37 | 000,288,056 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 07:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 05:33:01 | 000,586,568 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 05:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 05:33:01 | 000,100,640 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 05:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 05:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 03:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 03:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 02:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2005/02/24 23:15:00 | 000,159,744 | ---- | C] () -- C:\Windows\System32\EPSPTDV.DLL
 
========== LOP Check ==========
 
[2012/09/08 08:44:37 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\DVDVideoSoft
[2012/09/08 08:44:26 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\DVDVideoSoftIEHelpers
[2012/09/08 12:03:44 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\EPSON
[2012/09/14 15:11:18 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\Philips-Songbird
[2012/09/09 04:32:49 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\TerraTec
[2012/09/07 16:57:46 | 000,000,000 | ---D | M] -- C:\Users\Jörg\AppData\Roaming\Thunderbird
[2012/09/07 14:41:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2012/09/07 14:59:53 | 000,000,000 | ---D | M] -- C:\ProgramData\AzureWave
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2012/09/07 14:41:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2012/09/07 14:41:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2012/09/09 04:46:13 | 000,000,000 | ---D | M] -- C:\ProgramData\MAGIX
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2012/09/07 14:41:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2006/11/02 08:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2012/09/09 04:33:30 | 000,000,000 | ---D | M] -- C:\ProgramData\TerraTec
[2012/09/08 07:30:40 | 000,000,000 | ---D | M] -- C:\ProgramData\UDL
[2012/09/07 14:41:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2012/11/20 15:03:58 | 000,000,000 | ---D | M] -- C:\ProgramData\WinZip
[2012/09/14 15:10:31 | 000,000,000 | ---D | M] -- C:\ProgramData\{F0489EF2-D393-4114-85BA-A94D71D89543}
[2012/12/27 09:59:21 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 64 bytes -> C:\Users\Jörg\Desktop\DuckTales 90 - Die Entdeckung der Inflation Ganze Folge.mp4:TOC.WMV
< End of report >
--- --- ---

[\Code]

t'john 27.12.2012 19:24
Fixen mit OTLpe


  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.



  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
:OTL
SRV - [2012/12/26 09:57:57 | 000,192,512 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Users\Jörg\wgsdgsdgdsgsd.dll -- (Winmgmt)
O4 - Startup: C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
[2012/12/26 09:58:05 | 000,000,884 | ---- | M] () -- C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
@Alternate Data Stream - 64 bytes -> C:\Users\Jörg\Desktop\DuckTales 90 - Die Entdeckung der Inflation Ganze Folge.mp4:TOC.WMV
[2012/12/27 09:58:52 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/12/26 09:58:05 | 000,002,887 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Jörg\*.tmp
C:\Users\Jörg\AppData\Local\Temp\*.exe
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

jdjd 27.12.2012 19:55
Ja, der PC fährt wieder ganz normal hoch! Sicherheitshalber habe ich 2 Versuche gemacht.
Ich bin begeistert, vielen Dank!

Das Logfile sieht so aus:

Code:
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt deleted successfully.
C:\Users\Jörg\wgsdgsdgdsgsd.dll moved successfully.
C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
File C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.
ADS C:\Users\Jörg\Desktop\DuckTales 90 - Die Entdeckung der Inflation Ganze Folge.mp4:TOC.WMV deleted successfully.
C:\ProgramData\dsgsdgdsgdsgw.pad moved successfully.
C:\ProgramData\dsgsdgdsgdsgw.js moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\Jörg\*.tmp not found.
C:\Users\Jörg\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\mgxfonts.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\ose00000.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\ose00001.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\vlc-2.0.4-win32.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\_is11AC.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\_is425C.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\_is79A1.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\_isB0C8.exe moved successfully.
C:\Users\Jörg\AppData\Local\Temp\_isB2F9.exe moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Jörg
->Temp folder emptied: 153292245 bytes
->Temporary Internet Files folder emptied: 40016664 bytes
->FireFox cache emptied: 70999080 bytes
->Flash cache emptied: 762 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13210590 bytes
 
Total Files Cleaned = 265.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 12272012_193426

t'john 28.12.2012 09:20
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

jdjd 28.12.2012 12:38
Hallo John,

der PC läuft ohne Probleme so wie vorher.

Hier die Logfiles:

Malwarebytes

[Code]

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: JÖRG-PC [Administrator]

28.12.2012 10:58:03
mbam-log-2012-12-28 (10-58-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 337341
Laufzeit: 1 Stunde(n), 19 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\_OTL\MovedFiles\12272012_193426\C_Users\Jörg\wgsdgsdgdsgsd.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\12272012_193426\C_Users\Jörg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\1ede2ede-59a9f2d9 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

[\Code]


Und Adwcleaner

[Code]

# AdwCleaner v2.103 - Datei am 28/12/2012 um 12:25:13 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Jörg - JÖRG-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Jörg\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\1xl7j3jn.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [846 octets] - [28/12/2012 12:25:13]

########## EOF - C:\AdwCleaner[S1].txt - [905 octets] ##########

[\Code]

t'john 28.12.2012 13:33
Sehr gut! :daumenhoc

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

jdjd 28.12.2012 16:28
Emisoft findet nichts und gibt mir auch keine Logdatei aus.

Während das Programm lief, hat Avira plötzlich etwas gefunden:
Code:
Beginne mit der Suche in 'C:\_OTL\MovedFiles\12272012_193426\C_ProgramData\dsgsdgdsgdsgw.js'
C:\_OTL\MovedFiles\12272012_193426\C_ProgramData\dsgsdgdsgdsgw.js
  [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Small.CA

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\12272012_193426\C_ProgramData\dsgsdgdsgdsgw.js
  [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Small.CA
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56191aff.qua' verschoben!

t'john 28.12.2012 20:31
Schaue bitte in der Anleitung (http://www.trojaner-board.de/103809-...i-malware.html) nach, wo du die Logfiles finden kannst.
Poste das Logfile bitte.

jdjd 29.12.2012 03:23
Entaschuldige bitte, das habe ich völlig übersehen.

Hier das Logfile:

Code:
Emsisoft Anti-Malware - Version 7.0
Letztes Update: 29.12.2012 02:29:46

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, H:\, I:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:        29.12.2012 02:36:24


Gescannt        464182
Gefunden        0

Scan Ende:        29.12.2012 03:19:25
Scan Zeit:        0:43:01

t'john 29.12.2012 04:18
Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

jdjd 29.12.2012 14:23
Erledigt!

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=cf22a821a16d2649a99168afeaf34412
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-29 01:20:58
# local_time=2012-12-29 02:20:58 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 5010407 194319986 0 0
# scanned=530801
# found=2
# cleaned=2
# scan_time=13046
C:\_OTL\MovedFiles\12272012_193426\C_Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk        Win32/Reveton.M trojan (cleaned by deleting - quarantined)        40A8D03452C3B5B7F10254DB776CA1CF0AE01247        C
H:\Video\VLC Player\vlc-2.0.3-win32.exe        Win32/StartPage.OPH trojan (cleaned by deleting - quarantined)        45FCE453799F5C9325959AC55FFD442A714AD0DC        C


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:35 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19