Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen auf meinem USB Stick

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.11.2011, 15:02   #1
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Hallo!

Erstmal ein dickes Lob! Ich bin zwar neu in diesem Forum, aber muss sagen, dass das, was ich bisher gelesen habe, mich sehr beeindruckt hat. Mir wurde das Forum auch von einem Freund empfohlen. Scheint wirklich kompetent zu sein!

Nun zu meinem Problem: Ich habe mir bei einem Freund Bilder auf meinen USB Stick gezogen. Nun habe ich anscheinend auf meinem Stick den Trojaner Dropper.Gen. Diesen MUSS ich entfernen, ohne den Stick zu formatieren, da darauf meine gesamte Bachelorarbeit gespeichert ist und ich noch keine Zeit hatte diese auf meinem Laptop zu sichern (ich weiß, das war dumm). Die Ordner auf dem Stick werden zwar angezeigt, haben aber augenscheinlich nur eine Größe von 2KB (unter Eigenschaften sieht man jedoch, dass auf dem USB Stick 1,5 GB belegt sind). Die Ordner sind nun auch als Verknüpfung dargestellt, obwohl es ja eigentlich keine Verknüpfungen sind.
Den Ordner selbst kann ich nicht öffnen. Da sagt mir Windows:
"Die Laufwerk- oder Netzwerkverbindung, auf die sich die Verknüpfung "Bachelors.Ink" bezieht, ist nicht verfügbar. Stellen Sie sicher, dass der Datenträger richtig eingelegt bzw. die Netzwerkressource verfügbar ist und wiederholen Sie den Vorgang".

Als ich den USB Stick das erste Mal in meinen Laptop gesteckt habe, hat Avira Antivir den Trojaner erkannt und in Quarantäne verschoben. Daher weiß ich, dass es sich um diesen Trojaner handelt. Jedoch konnte ich ihn nicht löschen (nur aus der Quarantäneliste). Wenn ich jetzt Avira Antivir erneut durchlaufen lasse, findet/erkennt es den Trojaner nicht mehr. Ich habe nun auch noch Malwarebytes durchlaufen lassen. (Logfiles von Antivir und Malwarebytes sind vorhanden. Ich wusste aber nicht, ob diese notwendig sind, deswegen habe ich sie erstmal nur abgespeichert.) Spybot Search & Destroy hat leider auch nichts gefunden.

Ich weiß auch, dass es zig Themen in Google und auch hier im Board zu diesem Trojaner gibt, jedoch sind das meistens nur Individuallösungen und ich wusste nicht, ob ich die Schritte einfach nachmachen kann.

Ich hoffe ihr könnt mir irgendwie helfen und falls ich hier im falschen Forum poste oder ich etwas bei der Suche übersehen habe, verzeiht mir und postet doch den Link.
Ich bin leider kein Computer Experte, deswegen hoffe ich auf "verständliche" Hilfe. Ich nutze Windows XP Professional mit SP3.

Liebe Grüße,

Clemens

Geändert von druXioN (30.11.2011 um 15:38 Uhr)

Alt 30.11.2011, 17:31   #2
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Ich hatte vorhin wenig Zeit, da ich noch in der Uni bin. Deshalb habe ich den einen Thread erst später gelesen. Hier also nun die Logs der vorgegebenen Programme:

OTL:

OTL Logfile:
OTL EXTRAS Logfile:
Code:
ATTFilter
OTL logfile created on: 30.11.2011 15:51:41 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
========== Processes (SafeList) ==========
 
PRC - [2011.11.30 15:11:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.08.17 16:13:34 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.01 23:24:51 | 000,253,952 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Programme\T-Mobile\T-Mobile Internet Manager\DataCardMonitor.exe
PRC - [2011.04.30 08:16:26 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.01.14 01:48:51 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.07.28 08:07:16 | 002,404,488 | ---- | M] (mobile concepts GmbH) -- C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
PRC - [2010.07.11 11:42:46 | 002,199,040 | ---- | M] () -- C:\Programme\Rainlendar2\Rainlendar2.exe
PRC - [2010.01.14 21:10:54 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.03.05 15:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.03.27 15:24:46 | 000,348,160 | ---- | M] (Marvell) -- C:\Programme\HP\HP LaserJet M1319 MFP Series\ReceiveFaxUtility.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2010.08.16 00:08:44 | 000,094,208 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2010.07.11 11:42:52 | 000,193,024 | ---- | M] () -- C:\Programme\Rainlendar2\plugins\iCalendarPlugin.dll
MOD - [2010.07.11 11:42:46 | 002,199,040 | ---- | M] () -- C:\Programme\Rainlendar2\Rainlendar2.exe
MOD - [2010.05.23 20:25:48 | 000,501,760 | ---- | M] () -- C:\Programme\Rainlendar2\wxmsw28u_xrc_vc_rny.dll
MOD - [2010.05.23 20:25:36 | 000,131,072 | ---- | M] () -- C:\Programme\Rainlendar2\wxbase28u_xml_vc_rny.dll
MOD - [2010.05.23 20:25:32 | 000,485,376 | ---- | M] () -- C:\Programme\Rainlendar2\wxmsw28u_html_vc_rny.dll
MOD - [2010.05.23 20:25:20 | 000,707,584 | ---- | M] () -- C:\Programme\Rainlendar2\wxmsw28u_adv_vc_rny.dll
MOD - [2010.05.23 20:25:12 | 002,629,120 | ---- | M] () -- C:\Programme\Rainlendar2\wxmsw28u_core_vc_rny.dll
MOD - [2010.05.23 20:24:20 | 001,202,688 | ---- | M] () -- C:\Programme\Rainlendar2\wxbase28u_vc_rny.dll
MOD - [2010.05.23 20:20:08 | 000,012,288 | ---- | M] () -- C:\Programme\Rainlendar2\lfs.dll
MOD - [2010.05.23 20:20:04 | 000,126,976 | ---- | M] () -- C:\Programme\Rainlendar2\lua51.dll
MOD - [2010.05.23 19:17:46 | 000,060,416 | ---- | M] () -- C:\Programme\Rainlendar2\zlib1.dll
MOD - [2010.03.15 10:28:22 | 000,141,824 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2010.01.28 12:57:54 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.02.27 15:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.08.17 16:13:34 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.30 08:16:26 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.03.16 09:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2010.07.28 08:07:16 | 002,404,488 | ---- | M] (mobile concepts GmbH) [Auto | Running] -- C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe -- (CGVPNCliSrvc)
SRV - [2008.03.27 15:24:46 | 000,348,160 | ---- | M] (Marvell) [Auto | Running] -- C:\Programme\HP\HP LaserJet M1319 MFP Series\ReceiveFaxUtility.exe -- (HPM1319RcvFaxSrvc)
SRV - [2007.06.27 18:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.08.17 16:13:35 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.08.17 16:13:35 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.02.25 17:51:02 | 000,025,216 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901)
DRV - [2009.10.12 14:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbdev.sys -- (hwusbdev)
DRV - [2009.09.10 13:55:52 | 000,102,528 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009.05.11 11:49:20 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:50 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.27 14:39:18 | 000,007,552 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - [2008.10.09 12:50:04 | 000,018,816 | ---- | M] (Bytemobile, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\tcpipBM.sys -- (tcpipBM)
DRV - [2008.03.27 15:21:38 | 000,013,824 | ---- | M] (Marvell Semiconductor, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HP1319FAX.sys -- (HP1319FAX)
DRV - [2008.03.27 15:21:36 | 000,012,800 | ---- | M] (Marvell Semiconductor, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HP1319EWS.sys -- (HP1319EWS)
DRV - [2006.11.06 10:28:11 | 000,030,988 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\scdemu.sys -- (SCDEmu)
DRV - [2006.03.06 09:57:34 | 000,564,608 | ---- | M] (Bison Electronics. Inc. ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BisonCam.sys -- (Cam5603D)
DRV - [2006.01.04 18:30:42 | 000,561,664 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CHDAud.sys -- (HdAudAddService)
DRV - [2005.11.09 22:41:58 | 001,427,200 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)
DRV - [2005.09.30 09:34:10 | 000,310,016 | ---- | M] (REDC) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2005.09.17 10:01:50 | 000,028,672 | ---- | M] (REDC) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2005.09.14 11:45:24 | 000,050,560 | ---- | M] (REDC) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 86 A7 0D E3 E9 75 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: googlesharing@extension.thoughtcrime.org:0.20
FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 3
FF - prefs.js..extensions.enabledItems: 1
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\WINDOWS\system32\TVUAx\npTVUAx.dll (TVU networks)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.4: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.30 14:39:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.17 14:11:06 | 000,000,000 | ---D | M]
 
[2010.09.10 09:36:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Extensions
[2010.09.10 09:36:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.10.11 17:19:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Extensions\{718e30fb-e89b-41dd-9da7-e25a45638b28}
[2011.11.30 15:33:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions
[2011.11.30 15:33:25 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.11.02 18:07:57 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2011.02.05 17:33:18 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\firefox@tvunetworks.com
[2011.08.04 20:08:15 | 000,000,000 | ---D | M] (GoogleSharing) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\googlesharing@extension.thoughtcrime.org
[2010.10.03 19:44:47 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\vshare@toolbar
[2011.08.04 20:08:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\googlesharing@extension.thoughtcrime.org\chrome
[2011.08.04 20:08:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\googlesharing@extension.thoughtcrime.org\components
[2011.08.04 20:08:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\extensions\googlesharing@extension.thoughtcrime.org\defaults
[2010.10.11 17:19:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Sunbird\Profiles\xgqlbg2a.default\extensions
[2011.04.29 21:08:29 | 000,001,445 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\searchplugins\dictcc-en-de.xml
[2010.11.14 14:02:19 | 000,002,354 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\searchplugins\ecosia.xml
[2010.09.24 08:10:09 | 000,000,940 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\searchplugins\ponseu--franzsisch-deutsch.xml
[2010.11.01 21:03:30 | 000,002,057 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\5k3gki4s.default\searchplugins\youtube-videosuche.xml
[2011.02.05 18:46:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.02 21:06:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\******\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\5K3GKI4S.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.09.30 14:39:36 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.11.02 21:05:49 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.09.30 14:39:33 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.30 14:39:33 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.30 14:39:33 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.30 14:39:33 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.30 14:39:33 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.30 14:39:33 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.09.09 21:50:35 | 000,419,247 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	Free Spyware | Cash Advance | Debt Consolidation | Insurance | Cell Phones at 0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf!
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14466 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [DataCardMonitor] C:\Programme\T-Mobile\T-Mobile Internet Manager\DataCardMonitor.exe (Huawei Technologies Co., Ltd.)
O4 - HKCU..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe File not found
O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\******\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\******\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 194.94.24.34 194.94.24.10
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1AC234AE-7F5E-45D4-B7B0-EB1D46FBF1F1}: DhcpNameServer = 194.94.24.34 194.94.24.10
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.09.09 20:32:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{1ccce642-fa30-11df-865a-806d6172696f}\Shell\AutoRun\command - "" = yqq8eqil.exe
O33 - MountPoints2\{1ccce642-fa30-11df-865a-806d6172696f}\Shell\open\Command - "" = yqq8eqil.exe
O33 - MountPoints2\{56694c2c-be4c-11df-85a4-806d6172696f}\Shell\AutoRun\command - "" = G:\MI.exe
O33 - MountPoints2\{620221bc-8c95-11e0-8a1e-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{620221bc-8c95-11e0-8a1e-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{620221bc-8c95-11e0-8a1e-806d6172696f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{620221bf-8c95-11e0-8a1e-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{620221bf-8c95-11e0-8a1e-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{620221bf-8c95-11e0-8a1e-806d6172696f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\AutoRun\command - "" = F:\LJUBIO///ostavionebi.exe
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\explore\command - "" = F:\LJUBIO//ostavionebi.exe
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\open\command - "" = F:\LJUBIO//ostavionebi.exe
O33 - MountPoints2\{b9021456-c6d7-11df-85bd-806d6172696f}\Shell\AutoRun\command - "" = F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe
O33 - MountPoints2\{b9021456-c6d7-11df-85bd-806d6172696f}\Shell\open\command - "" = F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIEActiveSetup SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: >{99820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "wuauserv"
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MsConfig - StartUpReg: High Definition Audio Property Page Shortcut - hkey= - key= -  File not found
MsConfig - StartUpReg: HPUsageTracking - hkey= - key= - C:\Programme\HP\HP UT\bin\hppusg.exe ()
MsConfig - StartUpReg: HW_OPENEYE_OUC_T-Mobile Internet Manager - hkey= - key= - C:\Programme\T-Mobile\T-Mobile Internet Manager\UpdateDog\ouc.exe (Huawei Technologies Co., Ltd.)
MsConfig - StartUpReg: igfxhkcmd - hkey= - key= -  File not found
MsConfig - StartUpReg: igfxpers - hkey= - key= -  File not found
MsConfig - StartUpReg: igfxtray - hkey= - key= -  File not found
MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.11.30 14:20:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes
[2011.11.30 14:20:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.11.30 14:20:09 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.11.30 14:20:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.11.03 14:12:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\U3
[2011.11.02 13:11:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MediaMonkey
[2011.11.02 13:11:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\MediaMonkey
[2011.11.02 13:11:27 | 000,000,000 | ---D | C] -- C:\Programme\MediaMonkey
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.11.30 15:49:26 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\******\defogger_reenable
[2011.11.30 14:20:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.11.30 13:58:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.30 13:58:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.03 17:45:50 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.11.03 10:31:03 | 000,134,144 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.11.02 13:11:36 | 000,000,640 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MediaMonkey.lnk
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.11.30 15:49:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\******\defogger_reenable
[2011.11.30 14:20:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.11.02 13:11:36 | 000,000,640 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MediaMonkey.lnk
[2011.05.03 10:06:28 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011.05.03 10:06:28 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011.04.22 10:47:44 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2010.11.07 12:34:46 | 000,417,792 | R--- | C] () -- C:\WINDOWS\ZSM1319.EXE
[2010.11.07 12:34:45 | 000,417,792 | R--- | C] () -- C:\WINDOWS\System32\ZSM1319.EXE
[2010.11.07 12:34:42 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\hpsfs.dll
[2010.09.15 17:32:41 | 000,134,144 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.15 17:32:41 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.09.12 10:19:25 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.09.09 22:20:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.09.09 22:19:34 | 000,110,192 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.09 21:10:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.09.09 21:05:06 | 000,015,190 | ---- | C] () -- C:\WINDOWS\M2000Twn.ini
[2010.09.09 21:02:38 | 000,016,480 | ---- | C] () -- C:\WINDOWS\System32\rixdicon.dll
[2010.09.09 20:35:33 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.09.09 20:29:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.09.08 19:46:51 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2010.09.08 19:46:50 | 000,392,630 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2010.09.08 19:46:50 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2010.09.08 19:45:10 | 000,070,976 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2010.09.08 19:45:10 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2010.09.08 19:45:09 | 000,405,692 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2010.09.08 19:45:09 | 000,058,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2010.09.08 19:45:09 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2010.09.08 19:41:40 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2010.09.08 19:41:34 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2010.09.08 19:40:40 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2010.09.08 19:40:04 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2010.09.08 19:38:55 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2010.09.08 19:38:48 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2010.09.08 19:38:29 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2010.09.08 19:37:34 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.02.07 10:05:18 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\hppatusg01.dll
 
========== LOP Check ==========
 
[2011.05.04 02:07:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground
[2011.08.20 18:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2011.11.09 18:10:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\.purple
[2011.11.30 15:35:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Dropbox
[2011.06.13 16:36:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\FileZilla
[2011.06.22 06:51:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\gtk-2.0
[2011.06.14 21:38:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\HLSW
[2011.05.19 22:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\LolClient
[2011.06.01 23:24:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\T-Mobile
[2011.06.01 23:58:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\T-Mobile Internet Manager
[2011.02.12 11:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Teeworlds
[2011.05.30 11:22:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\TS3Client
[2010.10.11 16:37:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\XemiComputers
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.09.17 19:15:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.03.23 17:34:35 | 000,000,000 | ---D | M] -- C:\Downloads
[2010.12.20 08:43:44 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011.05.03 10:07:25 | 000,000,000 | ---D | M] -- C:\platodvdripper
[2011.05.04 01:49:43 | 000,000,000 | ---D | M] -- C:\Program Files
[2011.11.30 14:20:09 | 000,000,000 | R--D | M] -- C:\Programme
[2010.09.17 19:16:52 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010.09.09 20:37:06 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.06.02 08:59:24 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2009.11.10 19:46:08 | 001,859,840 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

< End of report >
         
--- --- ---

--- --- ---


EXTRAS:

OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 30.11.2011 15:51:41 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"56066:TCP" = 56066:TCP:*:Enabled:Pando Media Booster
"56066:UDP" = 56066:UDP:*:Enabled:Pando Media Booster
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"56066:TCP" = 56066:TCP:*:Enabled:Pando Media Booster
"56066:UDP" = 56066:UDP:*:Enabled:Pando Media Booster
"8381:TCP" = 8381:TCP:*:Enabled:League of Legends Launcher
"8381:UDP" = 8381:UDP:*:Enabled:League of Legends Launcher
"8393:TCP" = 8393:TCP:*:Enabled:League of Legends Lobby
"8393:UDP" = 8393:UDP:*:Enabled:League of Legends Lobby
"8390:TCP" = 8390:TCP:*:Enabled:League of Legends Game Client
"8390:UDP" = 8390:UDP:*:Enabled:League of Legends Game Client
"6907:TCP" = 6907:TCP:*:Enabled:League of Legends Launcher
"6907:UDP" = 6907:UDP:*:Enabled:League of Legends Launcher
"6926:TCP" = 6926:TCP:*:Enabled:League of Legends Launcher
"6926:UDP" = 6926:UDP:*:Enabled:League of Legends Launcher
"6997:TCP" = 6997:TCP:*:Enabled:League of Legends Launcher
"6997:UDP" = 6997:UDP:*:Enabled:League of Legends Launcher
"6920:TCP" = 6920:TCP:*:Enabled:League of Legends Launcher
"6920:UDP" = 6920:UDP:*:Enabled:League of Legends Launcher
"6981:TCP" = 6981:TCP:*:Enabled:League of Legends Launcher
"6981:UDP" = 6981:UDP:*:Enabled:League of Legends Launcher
"6992:TCP" = 6992:TCP:*:Enabled:League of Legends Launcher
"6992:UDP" = 6992:UDP:*:Enabled:League of Legends Launcher
"6944:TCP" = 6944:TCP:*:Enabled:League of Legends Launcher
"6944:UDP" = 6944:UDP:*:Enabled:League of Legends Launcher
"6932:TCP" = 6932:TCP:*:Enabled:League of Legends Launcher
"6932:UDP" = 6932:UDP:*:Enabled:League of Legends Launcher
"6901:TCP" = 6901:TCP:*:Enabled:League of Legends Launcher
"6901:UDP" = 6901:UDP:*:Enabled:League of Legends Launcher
"6888:TCP" = 6888:TCP:*:Enabled:League of Legends Launcher
"6888:UDP" = 6888:UDP:*:Enabled:League of Legends Launcher
"6897:TCP" = 6897:TCP:*:Enabled:League of Legends Launcher
"6897:UDP" = 6897:UDP:*:Enabled:League of Legends Launcher
"8396:TCP" = 8396:TCP:*:Enabled:League of Legends Launcher
"8396:UDP" = 8396:UDP:*:Enabled:League of Legends Launcher
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\******\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\******\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\Pidgin\pidgin.exe" = C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin -- (The Pidgin developer community)
"D:\SaugerdruXioN\Games\blubVolley\blubVolley.exe" = D:\SaugerdruXioN\Games\blubVolley\blubVolley.exe:*:Enabled:blubVolley -- ()
"C:\Dokumente und Einstellungen\******\Desktop\RouterClient.exe" = C:\Dokumente und Einstellungen\******\Desktop\RouterClient.exe:*:Enabled:RouterClient
"C:\Programme\HLSW\hlsw.exe" = C:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application -- (Stripf Software)
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Riot Games\League of Legends\lol.launcher.exe" = C:\Riot Games\League of Legends\lol.launcher.exe:*:Enabled:League of Legends Launcher
"C:\Riot Games\League of Legends\air\LolClient.exe" = C:\Riot Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"C:\Riot Games\League of Legends\game\League of Legends.exe" = C:\Riot Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\lol.launcher.exe" = D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\lol.launcher.exe:*:Enabled:League of Legends Launcher
"D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\air\LolClient.exe" = D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\game\League of Legends.exe" = D:\SaugerdruXioN\Games\League of Legends\Riot Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\SaugerdruXioN\Games\League of Legends\lol.launcher.exe" = D:\SaugerdruXioN\Games\League of Legends\lol.launcher.exe:*:Enabled:League of Legends Launcher
"D:\SaugerdruXioN\Games\League of Legends\air\LolClient.exe" = D:\SaugerdruXioN\Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\SaugerdruXioN\Games\League of Legends\game\League of Legends.exe" = D:\SaugerdruXioN\Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\SaugerdruXioN\Games\Steam\steamapps\drux9\counter-strike\hl.exe" = D:\SaugerdruXioN\Games\Steam\steamapps\drux9\counter-strike\hl.exe:*:Enabled:Counter-Strike
"D:\SaugerdruXioN\Games\Steam\Steam.exe" = D:\SaugerdruXioN\Games\Steam\Steam.exe:*:Enabled:Steam
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch
"{1DBB1B09-8A5C-4CEA-8623-3EE473D4530E}" = SMV Converter Tool 3.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{43BEE5D4-E522-450A-817D-02BCC18C1517}" = hppusgM1310
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A57592C-FF92-4083-97A9-92783BD5AFB4}" = BisonCam
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75A791DE-3A44-4DAA-BB10-837EC3306E5B}" = ReceiveInstaller
"{76B86AE2-6558-46FB-BB39-E6F02898FBE7}" = HP LaserJet Toolbox
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{92606477-9366-4D3B-8AE3-6BE4B29727AB}" = League of Legends
"{96BFE9CE-5A9D-4F6E-A406-7E0206BE5A6A}" = HP LaserJet M1319 MFP Series Toolbox
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9E2BD6FF-CE8D-47B5-AD9C-0A5C2D54EB3C}" = League of Legends
"{A82D052A-0806-42DF-80CD-1730A1AC0ED3}" = MrvlUsgTracking
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C6909E04-B7C6-4426-BE4F-098275147ADA}" = Scan To
"{CF097717-F174-4144-954A-FBC4BF301031}" = Nero 7 Premium
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"5513-1208-7298-9440" = JDownloader 0.9
"6F8C52CF07BBF1FE2471DC68C08F06D7C58B7D49" = Windows Driver Package - Intel (w29n51) net  (09/12/2005 9.0.3.9)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CNXT_HDAUDIO" = Conexant HD Audio
"CyberGhost VPN_is1" = CyberGhost VPN
"DivX Setup.divx.com" = DivX-Setup
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Guild Wars" = GUILD WARS
"HLSW_is1" = HLSW v1.3.3.7b
"HP LaserJet M1319 MFP" = HP LaserJet M1319 MFP Series
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"MediaMonkey_is1" = MediaMonkey 3.2
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Need For Speed " = SK Games
"Pidgin" = Pidgin
"pidgin-otr" = pidgin-otr 3.2.0-1
"Polipo" = Polipo 1.0.4.1
"PowerISO" = PowerISO
"PROSet" = Intel(R) PRO Network Connections Drivers
"Rainlendar2" = Rainlendar2 (remove only)
"SopCast" = SopCast 3.3.2
"Steam" = Steam
"Steam App 10" = Counter-Strike
"T-Mobile Internet Manager" = T-Mobile Internet Manager
"Tor" = Tor 0.2.1.26
"Vidalia" = Vidalia 0.2.10
"VLC media player" = VLC media player 1.1.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"FileZilla Client" = FileZilla Client 3.3.4.1
"TeamSpeak 3 Client" = TeamSpeak 3 Client
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.03.2011 12:53:38 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 16.03.2011 16:04:17 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 17.03.2011 00:43:41 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 17.03.2011 11:24:15 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 17.03.2011 15:49:56 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 17.03.2011 17:14:53 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.03.2011 10:47:12 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.03.2011 18:07:17 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.03.2011 20:08:50 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 19.03.2011 02:09:34 | Computer Name = VEGAN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 06.11.2011 15:54:07 | Computer Name = ****** | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
 für die  Netzwerkkarte mit der Netzwerkadresse 001CBF95CFF7 zugeteilt werden. Der
 folgende Fehler  ist aufgetreten:   %%1223.  Es wird weiterhin im Hintergrund versucht,
 eine Adresse vom  Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 07.11.2011 09:34:37 | Computer Name = ****** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.65 für die Netzwerkkarte mit der Netzwerkadresse
 001CBF95CFF7 wurde durch  den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat 
eine DHCPNACK-Meldung gesendet).
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.CRT" konnte nicht gefunden
 werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
 installiert.  
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.CRT fehlgeschlagen.
Referenzfehlermeldung:
 Die referenzierte Assemblierung ist nicht auf dem Computer installiert.  .
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\WINDOWS\system32\dpl100.dll
 fehlgeschlagen.  Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.  .
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.CRT" konnte nicht gefunden
 werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
 installiert.  
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.CRT fehlgeschlagen.
Referenzfehlermeldung:
 Die referenzierte Assemblierung ist nicht auf dem Computer installiert.  .
 
Error - 18.11.2011 09:36:43 | Computer Name = ****** | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\WINDOWS\system32\dpl100.dll
 fehlgeschlagen.  Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.  .
 
Error - 28.11.2011 07:35:20 | Computer Name = ****** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.105 für die Netzwerkkarte mit der Netzwerkadresse
 001CBF95CFF7 wurde durch  den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat 
eine DHCPNACK-Meldung gesendet).
 
Error - 30.11.2011 08:13:51 | Computer Name = ****** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.105 für die Netzwerkkarte mit der Netzwerkadresse
 001CBF95CFF7 wurde durch  den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat 
eine DHCPNACK-Meldung gesendet).
 
 
< End of report >
         
--- --- ---



GMER:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-11-30 17:08:51
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHY2080BH rev.0098000B
Running: tbpfim92.exe; Driver: C:\DOKUME~1\CLOREM~1\LOKALE~1\Temp\uwtdrpow.sys


---- System - GMER 1.0.15 ----

SSDT            BAF511C6                                                                                         ZwCreateKey
SSDT            BAF511BC                                                                                         ZwCreateThread
SSDT            BAF511CB                                                                                         ZwDeleteKey
SSDT            BAF511D5                                                                                         ZwDeleteValueKey
SSDT            BAF511DA                                                                                         ZwLoadKey
SSDT            BAF511A8                                                                                         ZwOpenProcess
SSDT            BAF511AD                                                                                         ZwOpenThread
SSDT            BAF511E4                                                                                         ZwReplaceKey
SSDT            BAF511DF                                                                                         ZwRestoreKey
SSDT            BAF511D0                                                                                         ZwSetValueKey

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Mozilla Firefox\firefox.exe[3004] ntdll.dll!LdrLoadDll                              7C925CD3 5 Bytes  JMP 0121FAE0 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)

Device          \Driver\BTHUSB \Device\0000007c                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df04b2341                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df04b2341@0023d64c9e64         0xCE 0xFB 0x03 0xAF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df04b2341@9c4a7b2ff076         0xAB 0x50 0xE9 0xFB ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df04b2341 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df04b2341@0023d64c9e64             0xCE 0xFB 0x03 0xAF ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df04b2341@9c4a7b2ff076             0xAB 0x50 0xE9 0xFB ...

---- EOF - GMER 1.0.15 ----[/QUOTE]
         
--- --- ---
__________________


Alt 02.12.2011, 16:42   #3
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
  • Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:otl
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\AutoRun\command - "" = F:\LJUBIO///ostavionebi.exe
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\explore\command - "" = F:\LJUBIO//ostavionebi.exe
O33 - MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\Shell\open\command - "" = F:\LJUBIO//ostavionebi.exe
O33 - MountPoints2\{56694c2c-be4c-11df-85a4-806d6172696f}\Shell\AutoRun\command - "" = G:\MI.exe

:commands
[reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 2


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
cd \
dir /s /a /b autorun.inf > look.txt
dir /s /a /b ostavionebi.exe >> look.txt
         
  • Wähle Datei --> Speichern unter
  • Dateiname: file.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf dem infizierten USB Stick.

    Es sollte nun ungefähr so aussehen
  • Starte die file.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Auf deinem USB Stick wird einen look.txt erstellt. Poste diese bitte in deiner nächsten Antwort.
__________________
__________________

Alt 03.12.2011, 12:37   #4
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Hey, vielen Dank für die Antwort!

OTL:

Zitat:
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{782fc61a-ea5f-11df-863a-806d6172696f}\ not found.
File F:\LJUBIO///ostavionebi.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{782fc61a-ea5f-11df-863a-806d6172696f}\ not found.
File F:\LJUBIO//ostavionebi.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{782fc61a-ea5f-11df-863a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{782fc61a-ea5f-11df-863a-806d6172696f}\ not found.
File F:\LJUBIO//ostavionebi.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56694c2c-be4c-11df-85a4-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56694c2c-be4c-11df-85a4-806d6172696f}\ not found.
File G:\MI.exe not found.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.31.0 log created on 12032011_122432
Die look.txt die erstellt wurde war leer. Was ich jedoch bemerkt habe ist, dass die eigentlichen Ordner, die vorher nur als 2 KB Verknüpfung angezeigt wurden, als versteckte Dateien sichtbar sind. Kann da auch drauf zugreifen und die Bilder etc kopieren (was ich jetzt aber nicht machen will, weil ich nicht weiß, ob ich mir dann den Trojaner auf den Laptop ziehe).
Unter "Ordneroptionen"->"Ansicht" sind auch "Geschützte Systemdatein ausblenden" nicht und "Versteckte Dateien und Ordner- Alle anzeigen" angekreuzt. Des Weiteren finde ich auf dem USB Stick einen versteckten Ordner mit dem Namen "Driver". Drin ist eine Datei mit dem Papierkorb als Symbol und dem Namen "S-1-4-89-654352344-54323413-6452342-4545".

Alt 03.12.2011, 16:48   #5
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Versuchen wir mal das.

Downloade dir bitte Pandas USBVaccine und installiere das Tool mit den vorgegebenen Einstellungen.

Schließe alle deine infizierten USB Sticks an und klicke Vaccine USB.


Berichte ob die USB Sticks wieder OK sind.

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.12.2011, 19:09   #6
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Der USB Stick ist jetzt vacciniert. Jedoch hat sich am Inhalt noch nichts geändert. Die 2 KB Verknüpfungen sind noch da und die eigentlichen Ordner werden noch als versteckt angezeigt. Hab grad nochmal mit Antivir überprüft. Zeigt mir aber keinen Fund an. Aber ich weiß nicht, ob das was zu bedeuten hat.

Alt 03.12.2011, 19:35   #7
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
dir /s /b %cd% > look.txt
del %0
         
  • Wähle Datei --> Speichern unter
  • Dateiname: file.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem USB Stick.

    Es sollte nun ungefähr so aussehen
  • Starte die file.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Es wird eine look.txt auf deinem USB Stick erstellt. Bitte poste den Inhalt hier
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.12.2011, 19:44   #8
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Ich habe ein paar Sachen, die meinen Bachelor betreffen aus der txt gelöscht (Fotos, Word Datein, Paper usw). Also nicht wundern.

LOOK.TXT

Zitat:
U:\Baf”g2.doc
U:\Visa1.jpg
U:\Visa2.jpg
U:\New Folder
U:\file.bat
U:\look.txt
U:\BOOTEX.LOG
U:\musik\01 Overeaction.mp3
U:\musik\02-unknown_error-midnight_special-xtc.mp3
U:\musik\10 - Pendulum - Hold Your Colour.mp3
U:\musik\14 Still Grey.mp3
U:\musik\Blame Featuring Selah - Because Of You.mp3
U:\musik\Danny Byrd - Moonwalker.mp3
U:\musik\Danny Byrd Ft. Zarif - California.mp3
U:\musik\DS_9__Mage_-_I_ll_Fly_With_U.mp3
U:\musik\DS_14__Kole_-_Fatal_Attraction.mp3
U:\musik\Ellie Goulding - Starry Eyed (DnB remix).mp3
U:\musik\Future Prophecies - September (Camo & Krooked Remix).mp3
U:\musik\High Contrast - High Society - Lovesick.mp3
U:\musik\High Contrast - High Society - Twilight's Last Gleaming.mp3
U:\musik\Indivision_-_Secret_Vision.mp3
U:\musik\Jenna G1 - Feat Chase and Status & Switch - In Love - Bingo.mp3
U:\musik\Kaleb - Dreaming.mp3
U:\musik\Kaleb - Dusty Blinds.mp3
U:\musik\Mistabishi_-_From_Memory__Matrix_Remix__Official_Video_FULL_CREDITS.mp3
U:\musik\Netsky_-_Escape_Ft._MC_Darrison.mp3
U:\musik\Snow_Patrol_-_Open_your_eyes__Marky__amp__Bungle_.mp3
U:\musik\Subsonik_vs._Kiro_-_Hold_On__HD_Audio_.mp3
U:\musik\berlin spricht - streetart tribute.mp3
U:\musik\Trouble_-_Coldplay__Traxx_Project_DNB_Remix_.mp3
U:\musik\Unknown Error - Struggle.mp3
U:\musik\Unknown Error - Sucker Punch.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\01-blackmill-evil_beauty.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\02-blackmill-city_lights.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\03-blackmill-a_reach_for_glory.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\04-blackmill-relentless.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\05-blackmill-in_the_night_of_wilderness.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\06-blackmill-journey_s_end.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\07-blackmill-oh_miah.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\08-blackmill-flesh_and_bones.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\09-blackmill-sacred_river.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\10-blackmill-rain.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\11-blackmill-as_time_goes_by.mp3
U:\musik\(Dubstep) Blackmill - Reach For Glory - 2011, MP3 [mikkisays.net]\cover.jpg
U:\New Folder\100_0992.JPG
U:\New Folder\100_0993.JPG
U:\New Folder\100_0994.JPG
U:\Bachelor\Paper\230.full.pdf
U:\Bachelor\Paper\algae grow of substances.pdf
U:\Bachelor\Paper\Analyse Chlorella.pdf
U:\Bachelor\Paper\Antje_Chlorophyll.pdf
U:\Bachelor\Paper\Book_Alga_Culture_9.pdf
U:\Bachelor\Paper\Chlorella Photo mixo hetero.pdf
U:\Bachelor\Paper\Chloro1.doc
U:\Bachelor\Paper\chlorophyll.pdf
U:\Bachelor\Paper\Culturing_Chlorella_156KB.pdf
U:\Bachelor\Paper\Disruption of Chlorella vulgaris.pdf
U:\Bachelor\Paper\effect of iron on growth and lipid accumulation in chlorella.pdf
U:\Bachelor\Paper\fulltext.pdf
U:\Bachelor\Paper\Grenzwerte Lebensmiteel.pdf
U:\Bachelor\Paper\Growing phototrophic cells without light.pdf
U:\Bachelor\Paper\MaximumProduktivityChlorella.pdf
U:\Bachelor\Paper\Mixotrophic growth of Chlorella sorokiniana in outdoor enclosed.pdf
U:\Bachelor\Paper\Protein, fatty acid and pigment content of Chlorella vulgaris.pdf
U:\Bachelor\Paper\Specific-growth-rate-of-Chlamydomonas-reinhardtii-and-Chlorella-sorokiniana-under-medium-duration-lightdark-cycles-13-87-s_1999_Journal-of-Biotechnology.pdf
U:\Bachelor\Paper\Temperature responses of growth, photosynthesis (photosynthese and respiration rate).pdf
U:\Bachelor\Paper\Chlorophyll
U:\Bachelor\Paper\Effects of parameters affecting biomass yield and thermal behaviour of.pdf
U:\Bachelor\Paper\Chlorophyll\A new spectrofluorometric method for the determination of chlorophylls and degradation products and its application in two frontal areas of the Argentine Sea.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll Analysis Procedure.docx
U:\Bachelor\Paper\Chlorophyll\Determination of accurate extinction coefficients and simultaneous equations for assaying chlorophylls a and b extracted with four different solvents.pdf
U:\Bachelor\Paper\Chlorophyll\In Vitro Determination of Chlorophylls a, b, c1 and c2 and Pheopigments in Marine And Fresheater Algae by Visible Spectrophotometry.pdf
U:\Bachelor\Paper\Chlorophyll\Photoinduced quenching of chlorophyll fluorescence in intact chloroplasts and algae. Resolution into two components.pdf
U:\Bachelor\Paper\Chlorophyll\Standard procedure for the determination of chlorophyll a by spectroscopic methods.pdf
U:\Bachelor\Paper\Chlorophyll\UNIVER~1.PDF
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\2.1 ISTAB Master project Application Form - Franziska & Simone.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\2.2 Method establishment - Simone Schwarz.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\2.3 Method validation - Simone Schwarz.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\2.4 Intermediate Report - Simone Schwarz.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\2.5 Final report - Simone Schwarz.pdf
U:\Bachelor\Paper\Chlorophyll\Chlorophyll measurement HS\Antje_Chlorophyll.pdf
U:\Neuer Ordner\PowerISO 3.5 Multilingual
U:\Neuer Ordner\pidgin-otr-3.2.0-1.exe
U:\Neuer Ordner\avira_antivir_personal_de.exe
U:\Neuer Ordner\wrar401d.exe
U:\Neuer Ordner\spybotsd162.exe
U:\Neuer Ordner\Dropbox 1.1.45.exe
U:\Neuer Ordner\vlc-1.1.11-win32.exe
U:\Neuer Ordner\Firefox Setup 6.0.2.exe
U:\Neuer Ordner\iview430_setup.exe
U:\Neuer Ordner\jxpiinstall.exe
U:\Neuer Ordner\pidgin-2.10.0.exe

Alt 03.12.2011, 20:15   #9
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Hm, ich seh da auch nichts.


Kannst du mal bitte einen Rechtsklick auf so eine Verknüpfung machen --> Eigenschaften und mir das was unter Ziel steht, hier her kopieren ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.12.2011, 20:40   #10
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Also der Ordner "Bachelor" hat das Ziel: F:\8585485\Bachelor.exe

Aber ich habe gar kein Laufwerk oder anderes Gerät angeschlossen mit der Bezeichnung F. Ich habe Festplatte C, D, Laufwerk E und den USB Stick U. Auf dem Stick befindet sich aber ein versteckter Ordner mit der Bezeichnung 8585485. Dieser ist aber sichtbar leer (und der Pfad lautet U:\8585485).

Gibts denn ne Möglichkeit einfach mal abzuchecken, ob der Trojaner noch drauf ist? Will ihn aus Sicherheitsgründen nich an meinen Tower PC anschließen. Weil dort müsste dann ja Antivir erkennen dass da ein Trojaner drauf ist.

Alt 03.12.2011, 22:10   #11
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Hm, seltsames ding und finde da sehr künstlerische Lösungswege.


Starte Vaccine und klicke auf Vaccinate Computer



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
attrib -S -H -r /d /s "*.*"
rd /s /q 8585485
del %0
         
  • Wähle Datei --> Speichern unter
  • Dateiname: iwas.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem USB Stick.

    Es sollte nun ungefähr so aussehen
  • Starte die iwas.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Berichte mal
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.12.2011, 22:28   #12
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Also jetzt ist es so, dass die ehemals versteckten Datein nicht mehr versteckt sind. Also ich habe jetzt sozusagen alle Ordner wieder so wie vorher, aber die Verknüpfungen zu den jeweiligen Ordnern sind auch noch da.

Im Grunde könnte ich die Verknüpfungen einfach löschen und das Problem ist behoben. Es sei denn der Trojaner ist noch drauf. Wie könnte ich das rausfinden?

Und würde eine Formatierung des USB Sticks das Problem sowieso lösen? Weil dann könnte ich doch einfach meine Ordner auf den Laptop kopieren. Ich mein das sind eigentlich nur pdf's, Bilder und Word Dateien.

Alt 03.12.2011, 22:35   #13
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Zitat:
Und würde eine Formatierung des USB Sticks das Problem sowieso lösen
Ja, würde es, aber mir nicht verraten, ob das Ding erledigt ist.

Kannst Du sonst eigentlich wieder auf alle Ordner zugreifen, oder sind ncoh ein paar "verlinkt"

Ist der Uminöse Ordner aus Zahlen immer noch leer ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 04.12.2011, 14:08   #14
druXioN
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Also der Zahlenordner ist nicht mehr da. Die Dateien, die vorher "versteckt", also unsichtbar waren sind nun wieder normal sichtbar und ich kann darauf zugreifen (die Ordneroptionen sind unverändert). Die Verknüpfungen sind zwar immernoch da und ich kann da nicht drauf zugreifen, aber das ist mir egal. Ich würde jetzt die wichtigen Sachen, also Bilder, PDFs, Word Dateien von dem Stick auf meine Festplatte kopieren und den Stick formatieren. Aber wieso soll ich dir dann nicht verraten, ob das Ding weg ist oder nicht?

Alt 04.12.2011, 16:29   #15
Larusso
/// Selecta Jahrusso
 
TR/Dropper.Gen auf meinem USB Stick - Standard

TR/Dropper.Gen auf meinem USB Stick



Update bitte Malwarebytes und mach einen Quick Scan.
Poste das Log bitte hier.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
MBAM Log
log.txt
OTL.txt
Extras.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu TR/Dropper.Gen auf meinem USB Stick
antiviren, bilder, board, computer, druck, einfach, entfernen, erste mal, falsche, folge, folgendes, formatieren, forum, freund, google, kompetent, laptop, logfiles, problem, profi, programm, stick, suche, tr/dropper.gen, trojaner, usb, usb stick, winxp



Ähnliche Themen: TR/Dropper.Gen auf meinem USB Stick


  1. auf meinem Stick kopierte Dateien werden sofort Verknüpfungen, die nicht mehr löschbar sind ?
    Log-Analyse und Auswertung - 25.09.2014 (25)
  2. Avast findet auf USB Stick jwgkvsq.vmx (Win32:Dropper-MCQ[Drp]) und ARBEIT.vbs (VBS:Solow-L[WRM])
    Plagegeister aller Art und deren Bekämpfung - 08.04.2014 (11)
  3. Ordner und Dateien auf meinem USB-Stick sind plötzlich Verknüpfungen
    Log-Analyse und Auswertung - 10.03.2014 (14)
  4. Trojaner Dropper.Generic2.ANEO am USB-Stick
    Log-Analyse und Auswertung - 30.09.2013 (5)
  5. TR/Dropper.Gen auf USB-Stick - erfolgreich geblockt?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (11)
  6. Malware vorhanden ? / USB-Stick nur Verknüpfungen / TR/Dropper.GEN
    Plagegeister aller Art und deren Bekämpfung - 19.06.2013 (13)
  7. faceboo.vbs auf meinem USB Stick und Rechner
    Plagegeister aller Art und deren Bekämpfung - 12.05.2013 (3)
  8. Kann tr.dropper.gen auf USB-Stick oder Speicherkarte der Kamera???????
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (12)
  9. ctfmoon.exe TR/Dropper.Gen auf USB Stick
    Log-Analyse und Auswertung - 10.04.2011 (5)
  10. Recycler auf USB Stick (Generic.dx, Exploit-CVE, Trojan.Dropper)
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (1)
  11. Wie kann ich Viren auf meinem Stick wieder löschen? - Formatieren funktioniert nicht!
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (4)
  12. TR/Dropper.Gen auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 15.12.2009 (0)
  13. Infizierter USB Stick (TR\Dropper.Gen) - mögliche Infizierung trotz aktivem Guard?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2009 (9)
  14. TR/Dropper.Gen auf meinem Pc
    Plagegeister aller Art und deren Bekämpfung - 10.06.2009 (22)
  15. Trojaner auf meinem USB-Stick :(
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (0)
  16. Wie stelle ich fest ob ich einen Trojaner auf meinem USB-Stick habe?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (1)
  17. Dropper auf USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 16.08.2008 (5)

Zum Thema TR/Dropper.Gen auf meinem USB Stick - Hallo! Erstmal ein dickes Lob! Ich bin zwar neu in diesem Forum, aber muss sagen, dass das, was ich bisher gelesen habe, mich sehr beeindruckt hat. Mir wurde das Forum - TR/Dropper.Gen auf meinem USB Stick...
Archiv
Du betrachtest: TR/Dropper.Gen auf meinem USB Stick auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.