Trojaner-Board
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Skype Virus (https://www.trojaner-board.de/135378-skype-virus.html)

cosinus 24.05.2013 20:08
Ok, mach bitte ein neues Log mit aswMBR

Hanuta87 24.05.2013 20:32
Code:
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-24 00:05:18
-----------------------------
00:05:18.296    OS Version: Windows 5.1.2600 Service Pack 3
00:05:18.312    Number of processors: 1 586 0xD08
00:05:18.312    ComputerName: UNTERWEGS  UserName: Chef
00:05:22.625    Initialize success
00:20:28.296    AVAST engine defs: 13052301
07:10:42.093    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
07:10:42.125    Disk 0 Vendor: ST9160310AS 0303 Size: 152627MB BusType: 3
07:10:42.421    Disk 0 MBR read successfully
07:10:42.421    Disk 0 MBR scan
07:10:42.687    Disk 0 Windows XP default MBR code
07:10:42.750    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        81940 MB offset 63
07:10:42.843    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS        70653 MB offset 167814990
07:10:42.921    Disk 0 Partition 3 00    EF      EFI FAT    A1055      31 MB offset 312512445
07:10:42.984    Disk 0 scanning sectors +312576705
07:10:43.343    Disk 0 scanning C:\WINDOWS\system32\drivers
07:10:51.609    File: C:\WINDOWS\system32\drivers\fddfcsj.sys  **INFECTED** Win32:Rootkit-gen [Rtk]
07:11:14.937    Scan finished successfully
07:11:49.984    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Chef\Desktop\MBR.dat"
07:11:50.187    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Chef\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-24 21:17:46
-----------------------------
21:17:46.343    OS Version: Windows 5.1.2600 Service Pack 3
21:17:46.343    Number of processors: 1 586 0xD08
21:17:46.343    ComputerName: UNTERWEGS  UserName: Chef
21:17:48.109    Initialize success
21:24:58.953    AVAST engine defs: 13052400
21:26:05.156    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
21:26:05.156    Disk 0 Vendor: ST9160310AS 0303 Size: 152627MB BusType: 3
21:26:05.375    Disk 0 MBR read successfully
21:26:05.375    Disk 0 MBR scan
21:26:05.515    Disk 0 Windows XP default MBR code
21:26:05.515    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        81940 MB offset 63
21:26:05.562    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS        70653 MB offset 167814990
21:26:05.593    Disk 0 Partition 3 00    EF      EFI FAT    A1055      31 MB offset 312512445
21:26:05.625    Disk 0 scanning sectors +312576705
21:26:05.937    Disk 0 scanning C:\WINDOWS\system32\drivers
21:26:12.109    File: C:\WINDOWS\system32\drivers\fddfcsj.sys  **INFECTED** Win32:Rootkit-gen [Rtk]
21:26:30.046    Scan finished successfully
21:28:23.640    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Chef\Desktop\MBR.dat"
21:28:23.703    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Chef\Desktop\aswMBR.txt"

cosinus 24.05.2013 20:33
Hm, das Teil ist immer noch da :balla:

Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    Rootkit::
    C:\WINDOWS\system32\drivers\fddfcsj.sys
    Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Hanuta87 24.05.2013 21:11
Code:
ComboFix 13-05-24.01 - Chef 24.05.2013  21:42:10.4.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.596 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chef\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chef\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-04-24 bis 2013-05-24  ))))))))))))))))))))))))))))))
.
.
2013-05-21 20:57 . 2013-05-21 20:57        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2013-05-21 20:57 . 2013-05-21 20:57        --------        d-----r-        c:\programme\Skype
2013-05-21 18:10 . 2013-05-21 18:10        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\Malwarebytes
2013-05-21 18:09 . 2013-05-21 18:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-05-21 18:09 . 2013-05-21 18:09        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-05-21 18:09 . 2013-04-04 12:50        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-05-21 10:24 . 2013-05-21 10:24        --------        d-----w-        c:\programme\Sony
2013-05-21 10:24 . 2013-05-21 10:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2013-05-20 20:22 . 2013-05-21 20:27        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\Samsung
2013-05-20 20:21 . 2006-05-03 20:53        174592        ----a-w-        c:\windows\system32\framedyn.dll
2013-05-20 20:21 . 2003-02-21 16:42        348160        ----a-w-        c:\windows\system32\msvcr71.dll
2013-05-20 20:20 . 2013-05-21 20:33        --------        d-----w-        c:\windows\system32\Samsung_USB_Drivers
2013-05-20 20:19 . 2006-07-24 14:05        5632        ----a-w-        c:\windows\system32\drivers\StarOpen.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-14 23:24 . 2012-10-29 22:54        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-05-14 23:24 . 2012-10-29 22:54        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-16 22:16 . 2008-09-08 08:19        920064        ----a-w-        c:\windows\system32\wininet.dll
2013-04-16 22:16 . 2008-09-08 08:19        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2013-04-16 22:16 . 2008-09-08 08:19        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2013-04-12 23:28 . 2008-09-08 08:19        385024        ----a-w-        c:\windows\system32\html.iec
2013-04-12 14:00 . 2008-09-08 08:19        1876480        ----a-w-        c:\windows\system32\win32k.sys
2013-03-08 08:36 . 2008-09-08 08:19        293888        ----a-w-        c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2008-09-08 08:19        2195712        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-03-07 15:56 . 2008-04-14 07:30        2072320        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-02-27 07:56 . 2008-09-08 08:36        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2008-05-07 08:34 . 2008-09-08 09:33        15523560        ----a-w-        c:\programme\U1 Setup.exe
2012-10-24 17:50 . 2012-10-29 12:18        261600        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}]
2013-01-28 14:49        281760        ----a-w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2012-10-17 684024]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 16858112]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2013-01-28 59720]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2013-02-20 152392]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Asus Power Management Utility.lnk - c:\programme\ASUS\EeePC\Asus Power Management Utility\Asus Power Management Utility.exe [2008-9-8 294912]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [15.02.2010 17:23 108289]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [21.05.2013 20:09 418376]
R2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [17.10.2012 19:29 544248]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [21.05.2013 20:09 22856]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [21.05.2013 20:09 701512]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [19.04.2013 15:14 161384]
S3 acsint;acsint;c:\windows\system32\drivers\acsint.sys [29.10.2012 14:05 38440]
S3 acsmux;acsmux;c:\windows\system32\drivers\acsmux.sys [29.10.2012 14:05 57256]
S3 Sony PC Companion;Sony PC Companion;c:\programme\Sony\Sony PC Companion\PCCService.exe [21.05.2013 12:24 155824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-29 23:24]
.
2013-05-24 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Free YouTube Download - c:\programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytmp3downloader.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: {{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - c:\programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\29g0of8u.default\
FF - prefs.js: browser.startup.homepage - about:newtab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-24 22:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3164)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-05-24  22:08:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-05-24 20:08
ComboFix2.txt  2013-05-24 18:58
ComboFix3.txt  2013-05-22 22:47
ComboFix4.txt  2013-05-22 22:14
.
Vor Suchlauf: 7 Verzeichnis(se), 64.791.519.232 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 64.955.711.488 Bytes frei
.
- - End Of File - - 98FB810B7EB7E646C481F235813FDB0F

cosinus 24.05.2013 21:28
Ich fürchte so kommen wir nicht weiter :(
Lass und mal anders weitermachen:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hanuta87 24.05.2013 21:31
Mein Laptop hat leider kein CD-Laufwerk. Gibts da eine andere Möglichkeit?

cosinus 24.05.2013 21:38
Erstellen wir einen bootbaren USB Stick für OTLPE
Du benötigst dazu einen anderen (sauberen!) Rechner, am besten einen mit WindowsXP, da unter Vista und Win7 erstellte OTLPE-Sticks nicht bootfähig waren. Mit Win7 hab ich es selbst schon mehrmals getestet, Stick war nicht bootfähig, Vista hab ich nocht nicht getestet, aber ein mit XP erstellter OTLPE-Stick ist bootfähig.

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).
  • Leere den USB Stick auf den Du OTLPE erstellen willst.
  • Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
  • Drücke im DOS Fenster eine beliebige Taste.
  • Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
    Für Drive Label: gib ein OTLPE.
    Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
    Setze ein Häckchen bei Enable File Copy.
  • Klicke Start, akzeptiere die Nutzungsbestimmungen.
Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hanuta87 24.05.2013 22:04
Ich habe es jetzt mal mit meinem Vista versucht. Bei PeToUSB erscheint bei mir ganz oben aber der Kommentar "No USB Disks Found!". Was muss ich da jetzt machen?

cosinus 24.05.2013 22:09
Starte das Tool bitte per Rechtklick => als Administrator ausführen

Hanuta87 24.05.2013 22:15
Dann muss ich, nachdem ich eine beliebige Taste gedrückt habe etwas auswählen.

cosinus 24.05.2013 22:32
Und was bitte musst du auswählen??

Hanuta87 24.05.2013 22:44
Es kommt:

Program - usb_prpeß8.cmd -01 dc 2007 -Date - 24.05.2013 23:38:18
Prepares Windows XP LocalSource for Copy to USB-Drive:

0> Change Type of USB-Drive, currently [USB-Stick]
1> Change XP Setup Source Path, currently []
2> Change Virtual TempDrive, currently [T:]
3> Change Target USB-Drive Letter, currently []
4> Make New Tempimage with XP LocalSource and Copy to USB-Drive
5> Use Existing Tempimage with XP LocalSource and Copy to USB-Drive
F> Change Log File - Simple OR Extended, currently [Simple]
Q> Quit

Enter your choice:


Kann man das irgendwie umgehen oder was soll ich da auswählen?

cosinus 24.05.2013 23:17
Zitat:
1> Change XP Setup Source Path, currently []
In der Anleitung steht doch, dass du den Sourcepatch (Quellpfad) eingeben musst, sonst weil das Tool ja nicht woher die OTLPE-Daten kommen

Hanuta87 27.05.2013 00:06
Also ich hab das mit dem bootbaren USB-Stick jetzt nochmal mit einem zweiten XP-Rechner versucht. Diesmal hat alles funktioniert und ich habe den infizierten Rechner mit dem USB-Stick gebootet und den Scan mit OTLPE gemacht. Bei mir wird da allerdings nur das OTL.txt Dokument erstellt.

OTL Logfile:
Code:
OTL logfile created on: 5/27/2013 1:52:18 AM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,015.00 Mb Total Physical Memory | 823.00 Mb Available Physical Memory | 81.00% Memory free
903.00 Mb Paging File | 838.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 80.02 Gb Total Space | 60.55 Gb Free Space | 75.67% Space Free | Partition Type: NTFS
Drive D: | 69.00 Gb Total Space | 62.99 Gb Free Space | 91.30% Space Free | Partition Type: NTFS
Drive X: | 963.70 Mb Total Space | 643.09 Mb Free Space | 66.73% Space Free | Partition Type: FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (Pml Driver HPZ12)
SRV - File not found [Auto] --  -- (Net Driver HPZ12)
SRV - File not found [Disabled] --  -- (HidServ)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2013/05/14 19:24:37 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/04/19 09:14:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2013/04/04 08:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2013/04/04 08:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2013/02/04 11:43:22 | 000,155,824 | ---- | M] (Avanquest Software) [On_Demand] -- C:\Programme\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion)
SRV - [2012/12/21 11:27:46 | 000,057,008 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012/10/24 13:49:17 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/10/17 13:29:39 | 000,544,248 | ---- | M] (Cisco Systems, Inc.) [Auto] -- C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe -- (vpnagent)
SRV - [2011/07/20 00:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009/07/21 09:34:33 | 000,185,089 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/05/13 11:48:22 | 000,108,289 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2013/04/04 08:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012/10/17 13:13:36 | 000,023,976 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\vpnva.sys -- (vpnva)
DRV - [2012/10/17 13:11:37 | 000,057,256 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\acsmux.sys -- (acsmux)
DRV - [2012/10/17 13:11:37 | 000,038,440 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\acsint.sys -- (acsint)
DRV - [2009/07/28 11:33:56 | 000,055,656 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/05/11 05:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/03/30 05:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/02/13 07:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/07/09 22:33:40 | 000,306,176 | ---- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rtl8187Se.sys -- (rtl8187Se)
DRV - [2008/03/18 06:21:32 | 004,744,704 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/03/11 07:37:00 | 000,036,864 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e)
DRV - [2007/11/05 06:56:58 | 000,101,120 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007/07/26 14:00:38 | 000,011,264 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS -- (AsusACPI)
DRV - [2006/07/24 10:05:00 | 000,005,632 | ---- | M] () [File_System | System] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2005/07/25 05:04:08 | 000,048,640 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Chef_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Chef_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Chef_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "about:newtab"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{33044118-6597-4D2F-ABEA-7974BB185379}: C:\WINDOWS\system32\16001.015
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\ff\ [2013/03/11 08:16:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/10/29 08:18:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{33044118-6597-4D2F-ABEA-7974BB185379}: C:\WINDOWS\system32\16001.015
 
[2012/10/29 08:19:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\mozilla\Extensions
[2012/12/26 05:43:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\mozilla\Firefox\Profiles\29g0of8u.default\extensions
[2012/10/29 08:18:10 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\CHEF\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\29G0OF8U.DEFAULT\EXTENSIONS\ADBLOCKPOPUPS@JESSEHAKANEN.NET.XPI
[2012/10/24 13:50:04 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/10/24 18:03:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/10/24 18:03:11 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/10/24 18:03:12 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/10/24 18:03:12 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/10/24 18:03:12 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/10/24 18:03:11 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013/05/24 15:59:26 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Toolbar Helper) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O2 - BHO: (DVDVideoSoft WebPageAdjuster Class) - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O3 - HKLM\..\Toolbar: (Windows Live Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O3 - HKU\Chef_ON_C\..\Toolbar\WebBrowser: (Windows Live Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)
O4 - HKU\Chef_ON_C..\Run: [ISUSPM] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Macrovision Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Asus Power Management Utility.lnk = C:\Programme\ASUS\EeePC\Asus Power Management Utility\Asus Power Management Utility.exe (ASUSTeK Computer Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Chef_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Chef_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\Chef_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Chef_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - C:\Programme\Windows Live Toolbar\msntb.dll (Microsoft Corporation)
O8 - Extra context menu item: Free YouTube Download - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytvdownloader.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytmp3downloader.htm ()
O9 - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O9 - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/09/08 04:40:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/05/24 22:11:36 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\NetworkService\Cookies
[2013/05/24 16:08:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2013/05/24 14:28:48 | 005,070,409 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Chef\Desktop\ComboFix.exe
[2013/05/24 01:12:36 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Chef\Desktop\tdsskiller.exe
[2013/05/23 18:03:19 | 004,745,728 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\Chef\Desktop\aswMBR.exe
[2013/05/23 13:07:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Desktop\mbar-1.05.0.1001
[2013/05/22 17:55:54 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013/05/22 17:53:51 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013/05/22 17:53:51 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013/05/22 17:53:51 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013/05/22 17:53:51 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013/05/22 17:53:31 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013/05/22 17:53:26 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Verwaltung
[2013/05/22 17:53:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013/05/21 16:58:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2013/05/21 16:57:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2013/05/21 16:57:57 | 000,000,000 | R--D | C] -- C:\Programme\Skype
[2013/05/21 14:10:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Malwarebytes
[2013/05/21 14:09:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013/05/21 14:09:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013/05/21 14:09:47 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013/05/21 14:09:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013/05/21 06:24:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sony
[2013/05/21 06:24:33 | 000,000,000 | ---D | C] -- C:\Programme\Sony
[2013/05/21 06:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
[2013/05/20 16:36:19 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Chef\Eigene Dateien\Eigene Videos
[2013/05/20 16:36:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Eigene Dateien\My Art
[2013/05/20 16:22:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Samsung
[2013/05/20 16:21:24 | 000,174,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\framedyn.dll
[2013/05/20 16:20:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Samsung_USB_Drivers
[2013/05/16 08:13:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Desktop\IDiLL
[2008/09/08 05:33:54 | 015,523,560 | ---- | C] (Macrovision Corporation) -- C:\Programme\U1 Setup.exe
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/05/26 18:12:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/05/26 18:09:39 | 1064,423,424 | -HS- | M] () -- C:\hiberfil.sys
[2013/05/26 17:28:00 | 000,000,252 | ---- | M] () -- C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
[2013/05/26 17:24:16 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/05/24 15:59:26 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013/05/24 15:36:05 | 005,070,409 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Chef\Desktop\ComboFix.exe
[2013/05/24 15:28:23 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Desktop\MBR.dat
[2013/05/24 01:12:37 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Chef\Desktop\tdsskiller.exe
[2013/05/23 18:05:02 | 004,745,728 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\Chef\Desktop\aswMBR.exe
[2013/05/23 13:05:24 | 012,917,756 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Desktop\mbar-1.05.0.1001.zip
[2013/05/23 12:02:06 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Desktop\gmer_2.1.19163.exe
[2013/05/22 17:56:01 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013/05/22 08:01:46 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013/05/21 16:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2013/05/21 16:31:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\digital publishing
[2013/05/21 16:30:01 | 000,000,138 | ---- | M] () -- C:\WINDOWS\ktel.ini
[2013/05/21 14:09:53 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2013/05/21 14:09:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013/05/21 14:07:48 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm
[2013/05/21 14:07:48 | 000,000,232 | -H-- | M] () -- C:\sqmdata05.sqm
[2013/05/21 13:59:23 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/05/21 13:46:08 | 000,000,232 | -H-- | M] () -- C:\sqmdata04.sqm
[2013/05/21 13:46:07 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt04.sqm
[2013/05/21 13:32:08 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt03.sqm
[2013/05/21 13:32:08 | 000,000,232 | -H-- | M] () -- C:\sqmdata03.sqm
[2013/05/21 13:17:32 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt02.sqm
[2013/05/21 13:17:32 | 000,000,232 | -H-- | M] () -- C:\sqmdata02.sqm
[2013/05/21 13:16:45 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt01.sqm
[2013/05/21 13:16:45 | 000,000,232 | -H-- | M] () -- C:\sqmdata01.sqm
[2013/05/21 13:02:30 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2013/05/21 13:02:30 | 000,000,232 | -H-- | M] () -- C:\sqmdata00.sqm
[2013/05/21 13:01:40 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt19.sqm
[2013/05/21 13:01:40 | 000,000,232 | -H-- | M] () -- C:\sqmdata19.sqm
[2013/05/21 12:47:26 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt18.sqm
[2013/05/21 12:47:26 | 000,000,232 | -H-- | M] () -- C:\sqmdata18.sqm
[2013/05/21 06:24:58 | 000,001,703 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony PC Companion 2.1.lnk
[2013/05/21 06:24:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sony
[2013/05/21 06:22:07 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\Msft_User_WpdMtpDr_01_00_00.Wdf
[2013/05/20 17:43:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2013/05/20 16:21:44 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2013/05/20 15:50:31 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/05/15 21:33:40 | 000,271,784 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/05/15 21:14:22 | 000,463,354 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/05/15 21:14:22 | 000,444,810 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/05/15 21:14:22 | 000,086,180 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/05/15 21:14:22 | 000,072,686 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/05/15 21:09:33 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/05/14 19:24:36 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/05/14 19:24:36 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/05/07 00:27:17 | 006,015,488 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[2013/05/05 03:56:37 | 000,009,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/05/24 01:11:49 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Desktop\MBR.dat
[2013/05/23 13:05:03 | 012,917,756 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Desktop\mbar-1.05.0.1001.zip
[2013/05/23 12:02:04 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Desktop\gmer_2.1.19163.exe
[2013/05/22 17:56:01 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013/05/22 17:55:56 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013/05/22 17:53:51 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013/05/22 17:53:51 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013/05/22 17:53:51 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013/05/22 17:53:51 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013/05/22 17:53:51 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013/05/21 16:58:01 | 000,002,243 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013/05/21 16:05:13 | 1064,423,424 | -HS- | C] () -- C:\hiberfil.sys
[2013/05/21 14:09:53 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2013/05/21 13:59:23 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/05/21 06:24:58 | 000,001,703 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony PC Companion 2.1.lnk
[2013/05/20 16:22:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2013/05/20 16:19:09 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2013/02/15 07:51:27 | 000,004,435 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel
[2012/11/05 19:30:12 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\urhtps.dat
[2012/02/21 17:08:29 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2009/04/29 18:27:23 | 000,001,534 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\wklnhst.dat
[2009/04/26 08:42:59 | 000,000,138 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2009/04/07 16:32:43 | 000,009,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/01/06 17:47:45 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2009/01/04 17:25:45 | 000,270,848 | ---- | C] () -- C:\WINDOWS\Unwise32.exe
[2009/01/04 17:25:45 | 000,006,027 | ---- | C] () -- C:\WINDOWS\Unwise32.ini
[2009/01/03 21:22:45 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/09/08 06:23:04 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008/09/08 06:00:17 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008/09/08 05:33:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\INSTALLEEE.EXE
[2008/09/08 05:30:54 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/09/08 05:29:52 | 000,271,784 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/09/08 05:10:29 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4704.dll
[2008/09/08 05:08:44 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\SamSfPa.dat
[2008/09/08 04:43:59 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/09/08 04:37:43 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/09/08 04:19:25 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008/09/08 04:19:20 | 000,463,354 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/09/08 04:19:20 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/09/08 04:19:20 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/09/08 04:19:20 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/09/08 04:19:13 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/09/08 04:19:12 | 000,444,810 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/09/08 04:19:12 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/09/08 04:19:12 | 000,072,686 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/09/08 04:19:12 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/09/08 04:19:11 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/09/08 04:19:11 | 000,004,562 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/09/08 04:19:10 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/09/08 04:19:09 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/09/08 04:19:09 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/09/08 04:19:06 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/09/08 04:19:03 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/03/19 21:58:28 | 000,000,173 | ---- | C] () -- C:\WINDOWS\explorer.exe.config
[2008/03/17 09:54:36 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini
[2004/10/26 18:28:22 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\miniIONT.dll
[2003/12/02 23:53:18 | 000,044,032 | ---- | C] () -- C:\WINDOWS\System32\miniIO98.dll
[2001/10/28 12:42:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfpipent.dll
 
========== LOP Check ==========
 
[2013/03/11 08:17:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\DVDVideoSoft
[2013/03/11 08:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\DVDVideoSoftIEHelpers
[2009/04/26 08:43:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\klickTel
[2009/10/02 10:45:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\lingenio
[2013/03/11 08:15:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\OpenCandy
[2009/01/04 17:41:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\PDFStar
[2013/05/21 16:27:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Samsung
[2009/04/29 18:27:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Template
[2009/04/27 08:08:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Windows Live Writer
[2013/03/28 17:41:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2012/10/29 08:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cisco
[2013/05/21 06:24:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
[2013/05/26 17:28:00 | 000,000,252 | ---- | M] () -- C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---

cosinus 27.05.2013 08:57
Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{33044118-6597-4D2F-ABEA-7974BB185379}: C:\WINDOWS\system32\16001.015
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{33044118-6597-4D2F-ABEA-7974BB185379}: C:\WINDOWS\system32\16001.015
FF - prefs.js..browser.search.update: false
:Files
C:\WINDOWS\system32\16001.015
C:\WINDOWS\system32\drivers\fddfcsj.sys
c:\windows\system32\appconf32.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\xmldm
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr.
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19