Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gozi online Banking gesperrt (https://www.trojaner-board.de/95391-gozi-online-banking-gesperrt.html)

PKD1974 04.02.2011 18:38
Gozi online Banking gesperrt
 
Hallo zusammen,

meine Freundin bekam heute einen Brief Ihrer Bank, indem mitgeteilt wurde, dass sich der Tronjaner "Gozi" auf Ihrem Rechner befindet. Da wir jedoch zwei Rechner haben, habe ich jetzt erstmal Antivir laufen lassen und anur auf einem Rechner einen Fund gehabt:

G:\iTunes\Automatisch zu iTunes hinzufügen\Duffy - Delayed Devotion.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.Wimad.B.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db235e5.qua' verschoben!
G:\iTunes\Automatisch zu iTunes hinzufügen\Duffy - Don't Forsake Me.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.Wimad.B.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc5536e.qua' verschoben!

Einen Trojaner namens Gozi wurde nicht gefunden.:confused:

Da ich das meiste was ich hier lese kaum verstehe, brauche ich wirklich verständliche Hilfe.:dankeschoen:


Schonmal im Vorraus vielen Dank

Der Suchlauf mit Antivir hat beim 2ten Rechner keine Ergebnisse gebracht, dafür popt ein Fenster auf mit Achtung Fund!
-> C:\WINDOWS\system32\DivXner.dll
enthält ein Erkennungsmuster BDS/Papras.56320

Angehängt habe ich die OTL Dateien beider Rechner.

:daumenhoc

Hier erstmal Rechner 1

UNd Rechner 2

Sorry, beim 2ten geht das nur so:

Code:

OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
510,00 Mb Total Physical Memory | 197,00 Mb Available Physical Memory | 39,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 55,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 67,28 Gb Total Space | 43,22 Gb Free Space | 64,24% Space Free | Partition Type: NTFS
 
Computer Name:xxx| User Name: xxx| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.01.26 19:36:40 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.12.21 22:05:43 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.12.21 11:15:34 | 001,224,304 | ---- | M] () -- C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe
PRC - [2010.05.14 11:44:46 | 000,501,480 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.01 21:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.01.26 15:31:12 | 005,365,592 | RHS- | M] (Safer Networking Limited) -- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
PRC - [2008.12.05 15:11:54 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.08.03 16:29:28 | 000,068,856 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2007.07.31 17:11:06 | 000,106,496 | ---- | M] (Apple, Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2006.10.22 22:29:48 | 000,014,456 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
PRC - [2005.08.18 09:33:26 | 001,933,312 | ---- | M] () -- C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
PRC - [2005.05.28 07:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\Samsung\Samsung Network Manager\SNMWLANService.exe
PRC - [2003.06.19 22:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
PRC - [2002.09.20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.01.26 19:36:40 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.06.01 21:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.12.05 15:11:54 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008.05.02 02:42:06 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007.07.31 17:11:06 | 000,106,496 | ---- | M] (Apple, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2006.07.21 08:51:38 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2005.05.28 07:35:56 | 000,036,864 | R--- | M] () [Auto | Running] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 22:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
SRV - [2002.09.20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.07 21:35:34 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.02.29 03:13:46 | 000,028,944 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2008.02.29 03:13:24 | 000,036,880 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008.02.29 03:13:16 | 000,035,344 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2006.05.15 14:35:36 | 000,061,600 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SE27bus.sys -- (SE27bus) Sony Ericsson Device 039 Driver driver (WDM)
DRV - [2006.05.01 11:48:04 | 000,061,600 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SE26bus.sys -- (SE26bus) Sony Ericsson Device 038 Driver driver (WDM)
DRV - [2005.07.13 10:58:18 | 000,463,296 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.06.28 15:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.06.10 19:52:00 | 000,027,648 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3grumdm.sys -- (G3GRUMDM)
DRV - [2005.06.10 19:52:00 | 000,024,064 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3gruser.sys -- (G3GRUSER)
DRV - [2005.06.10 19:52:00 | 000,018,688 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3grsc.sys -- (G3GRSC)
DRV - [2005.06.08 15:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter)
DRV - [2005.04.30 15:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2005.04.18 21:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\risdptsk.sys -- (risdptsk)
DRV - [2005.03.04 04:02:20 | 001,066,278 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005.02.02 03:58:58 | 000,191,456 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2004.12.06 14:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rimsptsk.sys -- (rimsptsk)
DRV - [2004.12.05 20:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rixdptsk.sys -- (rismxdp)
DRV - [2004.05.26 07:18:18 | 000,044,928 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
DRV - [2004.05.18 06:43:58 | 000,043,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\RITCPT.SYS -- (RITCPT)
DRV - [2004.05.18 06:43:54 | 000,005,088 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\FBAPI.sys -- (FBAPI)
DRV - [2000.08.23 17:19:38 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://google.icq.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.06.14 19:24:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.21 22:05:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.30 15:43:06 | 000,000,000 | ---D | M]
 
[2010.08.28 16:09:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Extensions
[2011.02.04 19:07:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions
[2010.08.29 10:38:50 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.30 15:44:30 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.08.28 16:09:37 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icq-search.xml
[2010.12.21 22:06:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin-1.xml
[2008.03.31 08:52:00 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.gif
[2008.03.31 08:52:00 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.src
[2010.12.06 22:02:30 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.xml
[2011.02.04 19:07:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.01.21 15:49:51 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.07.27 20:51:31 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.30 15:43:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.30 15:42:41 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.01.30 15:42:39 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2007.07.31 17:44:28 | 000,069,632 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npitunes.dll
[2006.07.31 15:07:16 | 000,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2010.12.06 22:01:59 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.06 22:01:59 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.06 22:01:59 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.06 22:01:59 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.06 22:01:59 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.26 17:06:28 | 000,429,283 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 14778 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.08.30 09:33:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell - "" = AutoRun
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: drwtvaws - (C:\WINDOWS\system32\DivXnsvr.dll) - C:\WINDOWS\system32\DivXnsvr.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.04 17:21:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.01.30 15:45:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2011.01.30 15:43:06 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.01.30 15:43:06 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.01.30 15:43:06 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.01.30 15:43:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.01.30 15:43:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.01.26 16:50:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.01.05 20:04:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Steuer-Sparbuch
[2011.01.05 19:51:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Mein Steuer-Sparbuch Heute
[7 C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.04 19:16:15 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.04 19:16:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.04 17:11:33 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.04 17:08:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.30 15:42:38 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.01.30 15:42:38 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.01.30 15:42:38 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.01.30 15:42:38 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.01.30 15:42:37 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.01.30 03:59:40 | 000,609,792 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.07.2010.doc
[2011.01.27 10:52:09 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.01.27 10:44:18 | 000,056,320 | ---- | M] () -- C:\WINDOWS\System32\DivXnsvr.dll
[2011.01.26 18:51:03 | 000,000,431 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics
[2011.01.26 17:06:28 | 000,429,283 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.01.26 16:50:59 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Spybot - Search & Destroy.lnk
[2011.01.17 22:15:22 | 000,607,744 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Aktuelle Familiensituation Schulten, 17.01.2010.doc
[2011.01.16 15:37:35 | 000,144,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Wochenplan v. Skrodzky, Januar 2011.doc
[2011.01.16 13:56:38 | 000,614,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.01.2011.doc
[2011.01.16 13:15:50 | 000,612,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB von Skrodzky, 11.01.2011.doc
[2011.01.10 20:38:36 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Piechatzek aktuell HPB.doc
[2011.01.07 18:56:47 | 000,000,630 | ---- | M] () -- C:\WINDOWS\wiso.ini
[7 C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.27 10:44:18 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\DivXnsvr.dll
[2011.01.26 16:50:59 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Spybot - Search & Destroy.lnk
[2011.01.17 22:15:21 | 000,607,744 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Aktuelle Familiensituation Schulten, 17.01.2010.doc
[2011.01.16 14:02:41 | 000,144,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Wochenplan v. Skrodzky, Januar 2011.doc
[2011.01.16 13:56:38 | 000,614,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.01.2011.doc
[2011.01.16 13:15:49 | 000,612,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB von Skrodzky, 11.01.2011.doc
[2011.01.10 20:38:36 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Piechatzek aktuell HPB.doc
[2011.01.05 19:13:00 | 000,001,164 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\crc32list11.txt
[2010.04.18 00:30:30 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010.02.05 21:46:27 | 000,000,630 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2009.10.05 11:40:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2009.08.30 13:54:38 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2009.08.30 13:43:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2009.05.31 15:21:59 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2007.08.04 17:54:44 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2007.04.30 09:12:44 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.04.30 09:12:44 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2006.10.21 10:24:22 | 000,013,569 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2006.08.20 19:21:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.03.10 17:24:07 | 000,000,153 | ---- | C] () -- C:\WINDOWS\disney.ini
[2006.03.09 20:20:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.01.24 19:08:29 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.01.11 18:50:47 | 000,050,688 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.01.11 17:59:18 | 000,001,543 | ---- | C] () -- C:\WINDOWS\System32\Saturn_KBD.ini
[2006.01.11 17:58:27 | 000,001,543 | ---- | C] () -- C:\WINDOWS\System32\Kunde_KBD.ini
[2005.10.18 14:08:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.09.03 14:38:37 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2005.08.30 18:19:29 | 000,000,638 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.08.30 10:25:24 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.08.30 09:44:34 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2005.08.30 09:44:32 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2005.08.30 09:44:32 | 000,002,700 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2005.08.30 09:44:32 | 000,002,596 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2005.08.30 09:44:32 | 000,002,554 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2005.08.30 09:44:32 | 000,002,461 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2005.08.30 09:44:32 | 000,002,237 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2005.08.30 09:44:32 | 000,001,886 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2005.08.30 09:44:32 | 000,001,820 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2005.08.30 09:44:32 | 000,001,811 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2005.08.30 09:44:32 | 000,001,690 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2005.08.30 09:44:32 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2005.08.30 09:44:32 | 000,001,332 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2005.08.30 09:44:31 | 000,001,690 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2005.08.30 09:44:26 | 000,043,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\RITCPT.SYS
[2005.08.30 09:44:16 | 000,005,088 | ---- | C] () -- C:\WINDOWS\System32\drivers\FBAPI.sys
[2005.08.30 09:43:12 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2005.08.12 22:57:09 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2005.07.08 18:21:48 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\AVS3_Resource.dll
[2005.06.08 15:58:10 | 000,017,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys
[2005.06.08 15:58:08 | 000,035,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWXT_kern_i386.sys
[2005.06.08 15:58:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.10.15 23:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2002.10.06 19:42:58 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.10.05 00:04:26 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002.10.05 00:04:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.10.05 00:04:18 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.04.19 16:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002.04.19 15:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2001.06.22 13:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
 
< End of report >
Hier das MBAM Log des 2. Rechners:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5677

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 20:59:26
mbam-log-2011-02-04 (20-59-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 218413
Laufzeit: 1 Stunde(n), 17 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg 05.02.2011 14:39
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: drwtvaws - (C:\WINDOWS\system32\DivXnsvr.dll) - C:\WINDOWS\system32\DivXnsvr.dll ()
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

PKD1974 05.02.2011 15:16
Wow, das ging schnell mit der Antwort:Boogie:

Soll ich das bei beiden Rechnern laufen lassen, oder sollte ich pro Rechner einen zweiten tread erstellen, sorry das ich mich so blöd anstelle..

:wtf:

markusg 05.02.2011 15:35
das otl log ist doch von rechner 1 wenn ich der datei beschreibung glauben darf. also kümmern wir uns um den.

PKD1974 05.02.2011 17:14
Hi Markus,

war der falsche Rechner. Da aus meinen 4 Beiträgen einer gemacht wurde ist das nun sehr unübersichtlich.

Dennoch hier das Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\drwtvaws not found.
File C:\WINDOWS\system32\DivXnsvr.dll not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: LocalService
->Flash cache emptied: 456 bytes

User: NetworkService

User: Patrick
->Flash cache emptied: 2068795 bytes

Total Flash Files Cleaned = 2,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 457837 bytes

User: Patrick
->Temp folder emptied: 14178280 bytes
->Temporary Internet Files folder emptied: 6256013 bytes
->Java cache emptied: 1221987 bytes
->FireFox cache emptied: 103838303 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3789025 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 126,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02052011_163204

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Das des anderen Rechners kommt im nächsten Beitrag, obwohl ich leider sagen muss, dass Antivir das Ding verschoben hat....

Mit freudlichen Grüßen
PKD

markusg 05.02.2011 17:17
dann kannst du es dir sparen.
so auf jeden fall muss der rechner auf dem der gozi trojaner ist neu aufgesetzt werden, also der, auf dem sich diese dll befunden hatt.
1. daten sichern.
2. zurückmelden und bescheid geben, dann gibts weitere anleitung zum neu aufsetzen und absichern.

PKD1974 05.02.2011 17:30
OK, heißt das dass BDS/Papras.56320 der Trojaner ist?

markusg 05.02.2011 17:32
ja, solche trojaner können aber weitreichende enderungen am system machen, dieses system ist erst dann wieder zum onlinebanking zu gebrauchen wenn es garantiert sauber ist, und das ist erst nach neu aufsetzen der fall.
vor allem muss man bedenken, wenn uns hier ein fehler unterläuft und es kommt geld weg vom konto, die bank findet raus das ihr nicht angemessen reagiert habt, durch formatieren, ist das evtl. fahrlässig und ihr seht, wenn ihr pech habt, das geld nicht wieder.

PKD1974 05.02.2011 17:45
Gut, das muss ich dann morgen machen:heulen:

Aber wenn es nicht anders geht, dann halt so, ist sowieso schon eine Ewigkeit nicht neu aufgesetzt worden.

Aber was ist mit dem anderen Rechner, ist der clean, oder sollte ich den auch neu aufsetzen?

markusg 05.02.2011 18:01
auf rechner 2 gibts ebenfalls solch einen eintrag, der könnte also auch mit neu aufgesetzt werden.

PKD1974 05.02.2011 18:16
So ein Mist, das wird eine Ewigkeit dauern bis ich die ganzen CDs gefunden habe, wenn ich die überhaupt finde....

markusg 05.02.2011 18:18
naja das wichtigste wäre windows. drivers finden wir im netz, musst nur mal bescheid geben, dann müssen wir deine hardware prüfen um zu schauen was benötigt wird.
deswegen wirst du in zukunft ein backup programm nutzen, dann, wie gesagt, dauert das saubere zurücksetzen nur 5 minuten bis vllt 10.

PKD1974 05.02.2011 21:14
Ich habe eine System-Wiederherstellungs-CD gefunden.

Klappt das damit?

markusg 06.02.2011 12:10
ja, damit klappts, da sind auch meist alle treiber mit drauf.
http://www.trojaner-board.de/96344-a...-rechners.html

PKD1974 06.02.2011 13:41
Moin,

soweit klar für den Lap Top, der hat nur eine Festplatte, die nicht partizipert ist (heißt doch so?).

Der Desktop PC hat 2 Festplatten, wovon eine patizipert ist

C: Hauptplatte mit Windows
D: Stauraum

Kann ich nur C: formatieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131