Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundestrojaner neue Variante?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.12.2012, 17:00   #1
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Hallo liebe Forumsteilnehmer,

ich würde heute nicht schreiben wenn ich echt Hilfe benötigen würde. Ich kenn mich selber ein bisschen mit PCs aus, aber wie es scheint habe ich mir eine neue Variante des Bundestrojaners eingefangen. Ich hatte vor einigen Jahren schon einmal eure Hilfe aufgesucht und ihr hattet mir damals unglaublich schnell und toll geholfen, daher hoffe ich ihr könnt mir auch dieses mal helfen.

Ich hoffe es ist ok ein neues Thema zu eröffnen, ich habe bereits gegoogelt und wollte mir selbst helfen, aber habe hierzu nichts passendes gefunden.

Es ist so, ich habe nun endlich nach einigen Jahren schnelles Internet, vorher musste ich mit UMTS surfen, daher hatte ich die Updates der letzten Jahre vernachlässigt und bin dabei langsam alles zu erneuern. Doch das schnell Internet ist wohl Fluch und Segen zugleich. Vorher wäre die Leitung für solche Schädlinge zu langsam gewesen .

Nun zu meinem Problem. Ich habe eine Variante des Bundestrojaner auf dem PC, bei einem Freund habe ich diesen bereits einmal gelöscht, das ging einfach, da ich einfach das WLAN abstellte und dann ganz normal auf den PC zugreifen konnte. Mit TuneUp-Utilitys habe ich dann den Starteintrag deaktiviert und einen Virenscanner drüber laufen lassen. Der Virus wurde gefunden und der Registryeintrag gelöscht.

Meine Variante ist aber anders. Ich komme weder in den abgesicherten Modus, noch hilft es das Netzwerk auszuschalten. D.h. ich kan praktisch gar nichts mehr auf dem Rechner machen. Ich habe auch bereits 2 Boot-CDs (CureIt und Kapersky) drüber laufen lassen. Leider ohne Erfolg, der Virus/Trojaner wird nicht gefunden. Bin darum gerade ein bisschen am verzweifeln!

Als Hilfe! Ich habe eine Firewall auf dem Rechner, diese schützt auch die Registry. Es kam vor dem Bundestrojanerbildschirm die Meldung, dass (ich glaube zumindest es war diese Datei) rundll32.exe in der Registry eine Datei mit dem Namen w... (mehr weiß ich leider nicht mehr) anlegen möchte. Ich habe auf blockieren gedrückt und dachte das sei damit erledigt. Doch wenige Sekunden später kam das Fenster des Bundestrojaners. Zum Glück wurde nichts verschlüsselt, er hindert mich lediglich auf den PC zu zu greifen. ABER, es wird nicht nur der Daskmanager unterdrückt, sondern anscheinend jede Art von Programme die ich am Anfang noch starten könnte wenn ich den PC hochfahre und das Bundestrojaner Fenster noch nicht offen ist. Gut ist, dass ich aber msconfig noch ausführen kann, ich habe dann einige Sekunden Zeit bis das Bundestrojanerfenster erscheint. Ist es aber mal da und versuche in den Taskmanger zu kommen oder schaffe es anderweitig das Fenster weg zu bekommen fährt sich der PC automatisch von alleine herunter.

Habt ihr eine Idee wo der Virus genau steckt und kennt ihr schon so einen Fall?

Vielen DANK für eure Mühen und eure Hilfe.

snaetsch

PS: Sollte das Thema hier nicht hinpassen oder doch schon existieren, dann löscht das Thema einfach. DANKE.

Habe nochmals nachgeschaut um noch ein paar Infos für euch zu sammeln um euch so vielleicht noch besser zu helfen. Es ist ein GVU-Trojaner und innerhalb von 48 Stunden sollte man das Gelb bezahlt sonst geht nichts mehr auf dem PC heißt es. Ich hoffe mal nicht. Hilft es das Datum zurück zu setzen? Ich habe mich auch schon mit meinem zweiten Account bei Windows angemeldet, aber auch ohne Erfolg, nach einiger Zeit kommt erneut das GVU-Fenster.

Ich habe auch soeben einen Screenshot erstellt, vielleicht hilft der euch weiter. Aber weiß nicht wie ich ihn anfügen kann.

Mein System ist übrigens Win XP.

So mehr fällt mir dazu nicht mehr ein und kann jetzt nur noch hoffen .

Einen schönen Abend allen Helfern im Board.

Alt 31.12.2012, 08:30   #2
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?





Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________

__________________

Alt 31.12.2012, 11:07   #3
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Hi und schon mal vielen DANK fuer die Muehen!

Hab uebrigens HitmanPro auch noch versucht gehabt, ebenfalls ohne Erfolg. Kann an meinem PC liegen oder mit dem Virus zusammen haengen. Ausserdem ist mir aufgefallen, dass jetzt eine Datei beschaedigt sein soll wenn ich hoch fahre und der Desktop sich dann oeffnet. Die Datei Recent soll unter meinem Benutzernamen beschaedigt sein.

Hier nun aber das Ergebnis von OTL. Das Programm hat mir uebrigens nur eine OTL.txt angelegt, aber keine Extras.txt. Schlimm oder nicht.

Marco

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 12/31/2012 12:28:38 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74.53 Gb Total Space | 5.08 Gb Free Space | 6.82% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - File not found [Disabled] --  -- (AppMgmt)
SRV - [2012/12/29 22:32:36 | 000,214,528 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll -- (winmgmt)
SRV - [2012/12/03 17:57:12 | 000,496,128 | ---- | M] (Crawler.com) [Disabled] -- C:\Programme\Spyware Terminator\sp_rsser.exe -- (sp_rssrv)
SRV - [2012/07/05 15:07:00 | 000,161,704 | ---- | M] (Oracle Corporation) [Disabled] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012/02/26 17:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Disabled] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012/01/09 14:17:44 | 000,821,592 | ---- | M] (IObit) [Disabled] -- C:\Programme\IObit\IObit Malware Fighter\IMFsrv.exe -- (IMFservice)
SRV - [2010/04/16 00:45:47 | 000,723,632 | ---- | M] (COMODO) [Disabled] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2009/09/06 06:38:06 | 000,071,096 | ---- | M] () [Disabled] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2009/07/21 07:34:33 | 000,185,089 | ---- | M] (Avira GmbH) [Disabled] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/06/03 06:56:36 | 001,773,960 | ---- | M] (zoneLink) [Disabled] -- C:\Programme\Gemeinsame Dateien\SystemUp Harddisk\hdservice.exe -- (SysUpHDService)
SRV - [2009/05/13 09:48:22 | 000,108,289 | ---- | M] (Avira GmbH) [Disabled] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/04/22 16:34:32 | 000,034,352 | ---- | M] () [Disabled] -- C:\Programme\Hotspot Shield\bin\HssTrayService.exe -- (HssTrayService)
SRV - [2009/04/22 16:34:26 | 000,088,624 | ---- | M] () [Disabled] -- C:\Programme\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService)
SRV - [2009/04/21 20:12:42 | 000,328,752 | ---- | M] (AnchorFree Inc.) [Disabled] -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)
SRV - [2008/07/18 22:02:31 | 000,611,664 | ---- | M] (Lavasoft) [Disabled] -- C:\Programme\Lavasoft\Ad-Aware\aawservice.exe -- (aawservice)
SRV - [2008/02/05 06:46:04 | 001,931,776 | ---- | M] (mobile concepts GmbH) [Disabled] -- C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe -- (CGVPNCliSrvc)
SRV - [2007/08/01 09:36:58 | 000,290,816 | ---- | M] (T-Systems Enterprise Services GmbH) [Disabled] -- C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe -- (TDslMgrService)
SRV - [2007/05/16 02:41:18 | 000,029,704 | ---- | M] (TuneUp Software GmbH) [Disabled] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2007/04/03 06:49:44 | 000,118,784 | ---- | M] (Bytemobile, Inc.) [Disabled] -- C:\WINDOWS\System32\bmwebcfg.exe -- (bmwebcfg)
SRV - [2007/02/23 08:20:06 | 001,687,856 | ---- | M] ( ) [Disabled] -- C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe -- (AshampooDefragService)
SRV - [2006/10/26 12:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 07:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/10/10 16:26:12 | 000,025,088 | ---- | M] (tzuk) [Disabled] -- C:\Programme\Sandboxie\SandboxieServer.exe -- (SandboxU)
SRV - [2006/08/03 09:23:36 | 000,119,800 | ---- | M] (SiSoftware) [Disabled] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe -- (SandraDataSrv)
SRV - [2006/08/03 09:23:08 | 001,156,096 | ---- | M] (SiSoftware) [Disabled] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe -- (SandraTheSrv)
SRV - [2006/08/01 10:42:18 | 000,145,920 | ---- | M] (Softwareentwicklung Remus) [Disabled] -- C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe -- (StealthInjectorService)
SRV - [2006/06/20 14:08:48 | 000,049,152 | ---- | M] (Hewlett-Packard Company) [Disabled] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2005/11/13 18:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [Disabled] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004/10/19 22:47:54 | 000,098,304 | ---- | M] () [Disabled] -- C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor)
SRV - [2004/10/19 21:40:46 | 000,118,784 | ---- | M] () [Disabled] -- C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe -- (PhotoshopElementsDeviceConnect)
SRV - [2004/08/10 17:46:56 | 000,483,328 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Windows Media Connect\mswmccds.exe -- (WmcCds) Windows Media Connect (WMC)
SRV - [2004/08/10 14:50:42 | 000,028,160 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Windows Media Connect\mswmcls.exe -- (WmcCdsLs)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (VMnetAdapter)
DRV - File not found [Kernel | On_Demand] --  -- (VBoxDrv)
DRV - File not found [Kernel | On_Demand] --  -- (tifm21)
DRV - File not found [Kernel | On_Demand] --  -- (SYMIDSCO)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand] --  -- (MEMSWEEP2)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] --  -- (GTIPCI21)
DRV - File not found [Kernel | Boot] --  -- (csdf)
DRV - File not found [Kernel | Boot] --  -- (crpf)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (aswArKrn)
DRV - File not found [Kernel | On_Demand] --  -- (Amsmpu4p)
DRV - [2012/07/05 07:54:18 | 000,016,248 | ---- | M] (IObit.com) [Kernel | On_Demand] -- C:\Programme\IObit\IObit Malware Fighter\Drivers\wxp_x86\UrlFilter.sys -- (UrlFilter)
DRV - [2012/07/05 07:54:16 | 000,030,408 | ---- | M] (IObit.com) [Kernel | On_Demand] -- C:\Programme\IObit\IObit Malware Fighter\Drivers\wxp_x86\RegFilter.sys -- (RegFilter)
DRV - [2012/01/05 12:07:40 | 000,246,816 | ---- | M] (IObit) [File_System | On_Demand] -- C:\Programme\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys -- (FileMonitor)
DRV - [2011/08/02 09:38:44 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\netaapl.sys -- (Netaapl)
DRV - [2010/06/25 12:07:14 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)
DRV - [2010/04/16 00:45:52 | 000,132,808 | ---- | M] (COMODO) [File_System | System] -- C:\WINDOWS\system32\drivers\cmdguard.sys -- (cmdGuard)
DRV - [2010/04/16 00:45:52 | 000,087,104 | ---- | M] (COMODO) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\inspect.sys -- (Inspect)
DRV - [2010/04/16 00:45:52 | 000,025,160 | ---- | M] (COMODO) [Kernel | System] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2009/12/31 01:13:16 | 000,142,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\sp_rsdrv2.sys -- (sp_rsdrv2)
DRV - [2009/12/27 08:36:46 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/09/28 14:57:28 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009/07/28 15:31:52 | 000,020,616 | ---- | M] (CHENGDU YIWO Tech Development Co., Ltd) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\eufs.sys -- (EUFS)
DRV - [2009/07/28 15:31:50 | 000,014,216 | ---- | M] (CHENGDU YIWO Tech Development Co., Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\eudskacs.sys -- (EUDSKACS)
DRV - [2009/07/28 15:31:48 | 000,026,120 | ---- | M] (CHENGDU YIWO Tech Development Co., Ltd) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\eubakup.sys -- (EUBAKUP)
DRV - [2009/07/28 15:31:46 | 000,122,504 | ---- | M] (CHENGDU YIWO Tech Development Co., Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\EuDisk.sys -- (EuDisk)
DRV - [2009/06/30 03:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot] -- C:\WINDOWS\system32\drivers\pavboot.sys -- (pavboot)
DRV - [2009/06/03 16:02:46 | 000,022,528 | ---- | M] (pBUS-167 Software - hxxp://www.pbus-167.com) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nhcDriver.sys -- (nhcDriverDevice)
DRV - [2009/05/11 03:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/03/30 03:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/02/13 05:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/09/12 14:36:42 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/07/13 07:41:04 | 000,048,736 | ---- | M] (Ray Hinchliffe) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SIVX32.sys -- (SIVDRIVER)
DRV - [2008/06/09 05:54:42 | 000,039,472 | ---- | M] (Paragon Software Group) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)
DRV - [2008/02/27 11:33:22 | 000,004,096 | ---- | M] () [Kernel | Unavailable] -- C:\Programme\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2007/07/16 10:29:33 | 000,017,432 | R--- | M] (Hewlett Packard) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hpfxbulk.sys -- (HPFXBULK)
DRV - [2007/06/26 06:53:54 | 000,013,824 | ---- | M] (T-Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tsmpkt.sys -- (TSMPacket)
DRV - [2007/05/06 12:18:11 | 000,165,504 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\atjsgt.sys -- (atjsgt)
DRV - [2007/05/06 12:18:08 | 000,016,000 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\linsgt.sys -- (linsgt)
DRV - [2007/04/24 03:20:26 | 000,042,112 | ---- | M] (Arovax, LLC) [Kernel | System] -- C:\Programme\Arovax Shield\dtd.sys -- (dtd)
DRV - [2007/04/03 06:46:08 | 000,018,816 | ---- | M] (Bytemobile, Inc.) [Kernel | System] -- C:\WINDOWS\System32\drivers\tcpipBM.sys -- (tcpipBM)
DRV - [2007/03/02 03:18:46 | 000,088,960 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007/03/02 03:18:46 | 000,088,960 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwcdcmdm0)
DRV - [2007/03/01 20:11:17 | 000,271,360 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2007/03/01 20:11:16 | 000,018,048 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2007/02/17 17:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm)
DRV - [2007/01/31 08:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\avgarkt.sys -- (AVG Anti-Rootkit)
DRV - [2007/01/28 23:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2)
DRV - [2007/01/18 07:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln)
DRV - [2006/11/13 11:49:36 | 000,030,808 | ---- | M] (Paragon Software Group) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\hotcore2.sys -- (hotcore2)
DRV - [2006/10/30 13:28:50 | 000,065,152 | ---- | M] (QUALCOMM Incorporated) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbapp.sys -- (hwusbapp)
DRV - [2006/10/14 18:06:18 | 000,124,032 | ---- | M] (tzuk) [Kernel | On_Demand] -- C:\Programme\Sandboxie\Sandbox.sys -- (Sandbox)
DRV - [2006/08/16 04:37:30 | 000,225,664 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2006/07/30 20:00:08 | 001,155,584 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006/03/30 07:39:48 | 000,130,432 | ---- | M] (AuthenTec, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\atswpdrv.sys -- (ATSWPDRV) AuthenTec TruePrint USB Driver (AES2500)
DRV - [2006/02/08 20:00:04 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) Broadcom NetLink (TM)
DRV - [2006/02/08 20:00:04 | 000,045,312 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
DRV - [2006/01/19 08:50:40 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)
DRV - [2006/01/18 08:06:42 | 001,342,570 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006/01/18 08:04:44 | 000,030,363 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2006/01/18 08:04:08 | 000,057,096 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006/01/18 08:01:12 | 000,148,168 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2005/11/03 09:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005/09/19 07:24:20 | 000,005,760 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\EabUsb.sys -- (eabusb)
DRV - [2005/09/19 07:24:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey)
DRV - [2005/09/19 07:23:52 | 000,007,808 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | System] -- C:\WINDOWS\system32\drivers\eabfiltr.sys -- (eabfiltr)
DRV - [2005/08/30 22:20:00 | 000,094,332 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005/08/30 22:20:00 | 000,087,036 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005/08/30 22:20:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005/08/30 22:20:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005/08/30 22:20:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005/08/30 22:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005/08/30 22:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005/08/25 05:16:52 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005/08/25 05:16:16 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005/08/10 07:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005/07/25 21:46:54 | 000,065,152 | R--- | M] (QUALCOMM Incorporated) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbser.sys -- (hwusbser)
DRV - [2005/05/16 08:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2004/09/21 11:24:00 | 000,005,248 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\giveio.sys -- (giveio)
DRV - [2004/08/04 03:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004/07/21 03:38:42 | 000,018,240 | ---- | M] (Compuware Corporation - NuMega Lab) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\DbgMsg.sys -- (DbgMsg)
DRV - [2004/04/14 01:52:54 | 000,020,736 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MosIrUsb.sys -- (MosIrUsb)
DRV - [2003/04/18 18:32:04 | 000,004,736 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tandpl.sys -- (tandpl)
DRV - [2003/03/02 11:44:26 | 000,007,552 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\enodpl.sys -- (enodpl)
DRV - [2001/08/17 21:35:52 | 000,035,913 | ---- | M] (SMC) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\smcirda.sys -- (SMCIRDA)
DRV - [2000/10/15 12:38:54 | 000,016,068 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\T-Com\DSLCheck\Pcandis5.sys -- (PCANDIS5)
DRV - [1999/09/10 07:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (ASPI32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hp.com
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\SearchURL\p, = preispiratensearchurl %s|-A0|
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\SearchURL\pp2, = preispiratensearchurl %s|-A0|
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\SearchURL\preispirat, = preispiratensearchurl %s|-A0|
IE - HKU\Marco_ON_C\Software\Microsoft\Internet Explorer\SearchURL\preispiraten, = preispiratensearchurl %s|-A0|
IE - HKU\Marco_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Marco_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\Marco_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :
 
 
IE - HKU\Stefan_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0:  File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0:  File not found
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  
FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Programme\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.69: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Programme\Mozilla Firefox\plugins\npyaxmpb.dll (Yahoo! Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008/12/12 09:29:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.14\extensions\\Components: C:\Dokumente und Einstellungen\Marco\Desktop\Tools\Foxes\Fox_Stealth\Portable_Firefox 2.0.0.12_deutsch\Firefox\components [2011/05/17 11:53:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.14\extensions\\Plugins: C:\Dokumente und Einstellungen\Marco\Desktop\Tools\Foxes\Fox_Stealth\Portable_Firefox 2.0.0.12_deutsch\Firefox\plugins [2011/06/10 09:09:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/07/01 17:02:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/12/21 09:11:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 1.5.0.14\Extensions\\Components: C:\Programme\Mozilla Thunderbird\components\ [2011/05/17 11:53:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 1.5.0.14\Extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins\ [2011/06/10 09:09:04 | 000,000,000 | ---D | M]
 
[2007/05/10 16:51:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\nlcksaki.default\extensions
[2012/06/06 07:58:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/12/21 09:11:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
[2011/05/27 10:01:18 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\Programme\Mozilla Firefox\extensions\inspector@mozilla.org
[2011/05/27 10:01:02 | 000,067,688 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\jar50.dll
[2011/05/27 10:01:02 | 000,054,368 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\jsd3250.dll
[2011/05/27 10:01:02 | 000,034,944 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\myspell.dll
[2011/05/27 10:01:04 | 000,046,712 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\spellchk.dll
[2011/05/27 10:01:04 | 000,172,136 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\xpinstal.dll
[2011/12/21 09:10:28 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2007/03/09 18:16:44 | 000,189,496 | ---- | M] (Yahoo! Inc.) -- C:\Programme\mozilla firefox\plugins\npyaxmpb.dll
[2011/05/27 10:01:14 | 000,001,525 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/05/27 10:01:14 | 000,001,063 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/05/27 10:01:14 | 000,000,998 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/05/27 10:01:14 | 000,000,815 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012/12/03 12:38:59 | 000,000,789 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 	127.0.0.1		localhost
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (FGCatchUrl) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll (www.flashget.com)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (NXIECatcher Class) - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll (Xi)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (HP Credential Manager for ProtectTools) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll (Infineon Technologies AG)
O2 - BHO: (Preispiraten 4) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\Preispiraten4\IEButtonPPInterface.dll ()
O2 - BHO: (FlashGet GetFlash Class) - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll (www.flashget.com)
O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll (AnchorFree Inc.)
O3 - HKLM\..\Toolbar: (Copernic Desktop Search 2) - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand203000018.dll (Copernic Inc.)
O3 - HKLM\..\Toolbar: (NetXfer) - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll (Xi)
O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll ()
O3 - HKU\Marco_ON_C\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Marco_ON_C\..\Toolbar\WebBrowser: (Copernic Desktop Search 2) - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand203000018.dll (Copernic Inc.)
O3 - HKU\Stefan_ON_C\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CognizanceTS] C:\Programme\HPQ\IAM\Bin\AsTsVcc.dll (Cognizance Corporation)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [HPPQVideo]  File not found
O4 - HKLM..\Run: [IObit Malware Fighter] C:\Programme\IObit\IObit Malware Fighter\IMF.exe (IObit)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\Marco_ON_C..\Run: [CrystalDiskInfo] C:\Dokumente und Einstellungen\Marco\Desktop\Tools\Festplatten und Core Tools\CrystalDiskInfo10\DiskInfo.exe (Crystal Dew World)
O4 - HKU\Marco_ON_C..\Run: [ISUSPM] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Macrovision Corporation)
O4 - HKU\Marco_ON_C..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKU\Stefan_ON_C..\Run: [MSMSGS]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe ( )
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FileWarper.lnk = C:\Programme\FileWarper\WarpMain.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (T-Systems Enterprise Services GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (T-Systems Enterprise Services GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSharedDocuments = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 67108863
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: FoFileAssociate = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoShellSearchButton = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideClock = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserNameInStartMenu = 0
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Stefan_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe ()
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe (FlashGet.com)
O9 - Extra 'Tools' menuitem : FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe (FlashGet.com)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-160-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\system32\guard32.dll) - C:\WINDOWS\system32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\OneCard: DllName - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll (Cognizance Corporation)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/12/30 14:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\TuneUp Software
[2012/12/30 12:04:55 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/12/29 22:34:22 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Marco\Recent
[2012/12/28 16:27:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\Desktop\Larry_28.12.2012
[2012/12/26 12:32:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\Desktop\ThunderbirdPortable41
[2012/12/15 12:52:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\Desktop\Weihnachtsbilder
[2012/12/12 14:02:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\Startmenü\Programme\Malware
[2012/12/06 19:59:47 | 000,000,000 | ---D | C] -- C:\Programme\AVAST Software
[2012/12/06 19:59:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2012/12/03 19:52:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2012/12/03 19:48:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit
[2012/12/03 19:48:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\IObit
[2012/12/03 19:47:40 | 000,000,000 | ---D | C] -- C:\Programme\IObit
[2012/12/03 19:29:24 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012/12/03 19:29:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2012/12/03 14:58:03 | 000,014,664 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys
[2012/12/03 14:55:36 | 000,000,000 | ---D | C] -- C:\Programme\stinger
[2012/12/03 09:23:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marco\DoctorWeb
[2009/10/20 05:48:34 | 000,017,524 | ---- | C] (   ) -- C:\WINDOWS\System32\drivers\GT680X.SYS
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Marco\*.tmp files -> C:\Dokumente und Einstellungen\Marco\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Marco\*.tmp files -> C:\Dokumente und Einstellungen\Marco\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/12/31 05:44:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/12/30 20:51:21 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012/12/30 20:51:15 | 000,003,102 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js
[2012/12/30 20:50:46 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2012/12/30 20:28:50 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/12/30 14:35:10 | 000,000,796 | ---- | M] () -- C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk
[2012/12/29 21:56:00 | 000,001,210 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1769681955-3207028132-3181908847-1006UA.job
[2012/12/29 20:32:01 | 000,160,256 | ---- | M] () -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/12/28 20:25:42 | 000,002,519 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Excel.lnk
[2012/12/28 18:16:03 | 004,816,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Marco\Desktop\Larry Williams - Picture Perfect Traders.pdf
[2012/12/28 15:41:47 | 008,303,303 | ---- | M] () -- C:\Dokumente und Einstellungen\Marco\Desktop\larry williams - protege course.pdf
[2012/12/28 14:56:01 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1769681955-3207028132-3181908847-1006Core.job
[2012/12/28 14:55:47 | 001,289,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Marco\Desktop\CurFutCA_28.12.2012.zip
[2012/12/28 11:15:00 | 000,000,396 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2012/12/23 09:01:52 | 000,874,346 | ---- | M] () -- C:\Dokumente und Einstellungen\Marco\Desktop\CIMG0846.JPG
[2012/12/12 14:02:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malware
[2012/12/11 13:44:11 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2012/12/03 14:58:03 | 000,014,664 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys
[2012/12/03 12:38:59 | 000,000,789 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Marco\*.tmp files -> C:\Dokumente und Einstellungen\Marco\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Marco\*.tmp files -> C:\Dokumente und Einstellungen\Marco\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/12/30 14:35:10 | 000,000,796 | ---- | C] () -- C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk
[2012/12/29 22:33:14 | 000,003,102 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js
[2012/12/29 19:33:57 | 000,074,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\Bild 3026.jpg
[2012/12/29 19:33:57 | 000,067,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\Bild 3025.jpg
[2012/12/29 19:33:57 | 000,041,587 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\Bild 3028.jpg
[2012/12/28 18:15:58 | 004,816,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\Larry Williams - Picture Perfect Traders.pdf
[2012/12/28 15:41:37 | 008,303,303 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\larry williams - protege course.pdf
[2012/12/28 14:55:46 | 001,289,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\CurFutCA_28.12.2012.zip
[2012/12/23 08:51:48 | 000,874,346 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop\CIMG0846.JPG
[2012/11/30 07:58:41 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012/11/11 10:06:16 | 000,000,214 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\.swfinfo
[2010/12/24 17:14:18 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2010/12/18 20:51:51 | 007,232,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\__rzi_00.344
[2010/08/03 20:16:17 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010/06/25 12:03:12 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2010/04/22 04:46:47 | 000,172,876 | ---- | C] () -- C:\WINDOWS\hppins09.dat.temp
[2010/04/22 04:46:47 | 000,003,425 | ---- | C] () -- C:\WINDOWS\hppmdl09.dat.temp
[2009/12/31 02:21:41 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009/12/31 01:13:16 | 000,142,592 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2009/12/27 10:48:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\cd.dat
[2009/08/09 15:16:48 | 000,000,218 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\.recently-used.xbel
[2009/06/25 23:05:00 | 000,048,872 | ---- | C] () -- C:\WINDOWS\csdf.dat
[2009/06/25 23:05:00 | 000,021,966 | ---- | C] () -- C:\WINDOWS\csdf_sdum.dat
[2009/05/25 22:47:04 | 000,000,174 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\.gammurc
[2009/05/25 19:27:24 | 000,020,736 | R--- | C] () -- C:\WINDOWS\System32\drivers\MosIrUsb.sys
[2009/05/25 19:19:59 | 000,028,672 | ---- | C] () -- C:\WINDOWS\dbgmsgcfg.dll
[2009/05/02 07:48:14 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe
[2009/01/02 18:23:40 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\rmc_rtspdl.dll
[2008/12/19 14:56:29 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\DesktopOww33a_cfdg.exe
[2008/12/17 03:45:19 | 000,002,795 | ---- | C] () -- C:\WINDOWS\checkip.dat
[2008/11/23 17:53:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NokiaContentCopier.INI
[2008/09/13 03:48:21 | 000,069,632 | ---- | C] () -- C:\WINDOWS\RAUNINST.EXE
[2008/08/26 20:02:10 | 000,000,621 | R--- | C] () -- C:\WINDOWS\System32\hppapr09.dat
[2008/08/26 19:53:34 | 000,173,326 | ---- | C] () -- C:\WINDOWS\System32\hppins09.dat
[2008/08/26 19:53:34 | 000,172,876 | ---- | C] () -- C:\WINDOWS\hppins09.dat
[2008/08/26 19:53:34 | 000,003,425 | ---- | C] () -- C:\WINDOWS\hppmdl09.dat
[2008/08/04 20:01:29 | 000,247,560 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll
[2008/06/20 18:45:50 | 020,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Desktop(2)
[2008/06/10 10:21:14 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2008/06/10 10:21:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2008/05/29 15:23:17 | 000,024,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\VBoxDrv.sys
[2008/05/19 15:39:14 | 000,000,268 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DAXACHRT.INI
[2008/05/16 04:58:04 | 000,012,632 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2008/05/13 12:08:30 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\profile-fix.exe
[2008/03/25 21:56:59 | 000,028,776 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2008/03/25 20:31:02 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4864.dll
[2008/03/07 19:41:28 | 000,691,545 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2008/03/07 19:41:28 | 000,002,547 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2008/02/24 15:55:34 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2008/02/24 15:55:34 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2008/02/24 15:55:34 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2007/11/09 13:40:40 | 000,250,600 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2007/10/14 14:55:43 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4820.dll
[2007/08/29 19:37:07 | 000,000,076 | ---- | C] () -- C:\WINDOWS\Battle.ini
[2007/08/16 21:08:49 | 000,001,464 | ---- | C] () -- C:\WINDOWS\System32\WIN16DRV.DLL
[2007/06/15 13:19:29 | 000,109,056 | ---- | C] () -- C:\WINDOWS\System32\cwx6_32.dll
[2007/06/10 11:46:24 | 000,000,046 | ---- | C] () -- C:\WINDOWS\System32\DonationCoder_urlsnooper_InstallInfo.dat
[2007/05/14 11:38:09 | 000,000,067 | ---- | C] () -- C:\WINDOWS\xpsyspad.ini
[2007/05/14 10:35:06 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\DriveInfo.dll
[2007/05/06 12:18:11 | 000,165,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\atjsgt.sys
[2007/05/06 12:18:08 | 000,016,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\linsgt.sys
[2007/04/24 08:56:05 | 000,083,968 | ---- | C] () -- C:\WINDOWS\UnGins.exe
[2007/04/24 08:55:58 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\Unlha32.dll
[2007/04/24 08:55:57 | 000,473,600 | ---- | C] () -- C:\WINDOWS\System32\Harmony.dll
[2007/04/14 10:25:31 | 000,012,288 | ---- | C] () -- C:\WINDOWS\impborl.dll
[2007/04/11 12:16:02 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\.TFileChooserFavourites
[2007/04/11 10:30:34 | 004,244,744 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll
[2007/04/09 12:33:40 | 000,002,532 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2007/04/08 18:53:57 | 000,036,354 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\.cxpg63spc.dat
[2007/04/02 09:40:48 | 000,000,396 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2007/03/30 13:23:14 | 000,299,849 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\jap.conf
[2007/03/22 15:47:35 | 000,046,344 | ---- | C] () -- C:\WINDOWS\NSSetDefaultBrowser.EXE
[2007/03/16 07:44:23 | 000,054,128 | ---- | C] () -- C:\WINDOWS\War3Unin.dat
[2007/03/15 03:01:25 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007/03/14 14:32:40 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/03/08 14:03:10 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\giveio.sys
[2007/03/04 21:21:58 | 000,001,742 | -H-- | C] () -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\xpy.ini
[2007/03/01 20:11:17 | 000,271,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2007/03/01 20:11:16 | 000,018,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2007/02/28 15:40:41 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe
[2007/02/21 18:05:59 | 000,160,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/02/20 18:57:14 | 000,000,059 | ---- | C] () -- C:\WINDOWS\RUNAWAY.INI
[2007/02/20 14:42:04 | 000,004,837 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2007/02/19 17:28:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007/02/19 15:48:15 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/02/19 15:29:58 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2007/02/17 21:25:45 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007/02/16 08:02:20 | 000,007,552 | ---- | C] () -- C:\WINDOWS\System32\drivers\enodpl.sys
[2007/02/16 08:02:20 | 000,004,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\tandpl.sys
[2007/02/15 13:23:19 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2007/02/15 13:23:19 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2007/02/15 13:23:19 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2007/02/15 13:23:19 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2007/02/15 13:23:19 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2007/02/15 13:23:18 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2007/02/15 13:22:20 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006/08/22 14:48:29 | 000,000,175 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006/08/22 14:47:06 | 000,030,064 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006/05/02 17:38:24 | 000,072,444 | ---- | C] () -- C:\WINDOWS\SetBrowser.exe
[2006/05/02 17:38:24 | 000,000,748 | ---- | C] () -- C:\WINDOWS\SetBrowser.ini
[2006/01/18 08:13:10 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005/12/27 09:17:32 | 000,122,939 | ---- | C] () -- C:\WINDOWS\System32\perf32.ini
[2005/12/01 14:11:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2004/08/07 00:32:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/08/07 00:32:26 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004/08/07 00:27:00 | 000,485,044 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/07 00:27:00 | 000,462,240 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/07 00:27:00 | 000,097,354 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/07 00:27:00 | 000,082,064 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/07 00:25:50 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/07 00:19:00 | 000,304,416 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/08/07 00:13:54 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/08/07 00:10:50 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/04 03:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 03:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 03:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 03:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 03:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/08/04 03:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 03:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 03:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 03:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/08/04 03:00:00 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\lpcio.dll
[2004/08/04 03:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 03:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004/08/04 03:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/06/01 04:39:56 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2002/05/28 03:55:42 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/05/28 03:54:40 | 000,004,605 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001/11/14 06:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[2001/07/06 21:00:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI
[2000/02/15 17:00:00 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\UniClear.exe
[1999/01/22 13:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1998/05/06 21:10:00 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\ODMA32.dll
[1997/11/17 10:13:16 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
 
========== LOP Check ==========
 
[2009/08/20 23:40:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\ACStealth4
[2009/04/07 15:59:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Amazon
[2007/05/19 14:18:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Ashampoo
[2007/12/12 17:41:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Azureus
[2008/03/25 16:43:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\BinarySense
[2008/07/07 08:14:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Bioshock
[2009/08/31 18:54:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\BITS
[2008/08/29 22:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Bytemobile
[2009/12/31 02:22:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Canneverbe_Limited
[2007/04/08 18:25:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\CDZilla
[2008/08/05 14:20:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\CheckPoint
[2008/09/12 14:36:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DAEMON Tools
[2009/12/31 02:23:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DeepBurner
[2008/08/05 11:28:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\derixx GmbH
[2012/11/10 13:22:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DonationCoder
[2007/06/15 13:31:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DTLink Software
[2011/05/13 10:33:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\DVDVideoSoft
[2007/06/10 11:41:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\FlashGet
[2007/05/19 13:58:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Flock
[2008/05/06 20:39:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\FLV Extract
[2007/03/30 12:15:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\G10 Software AG
[2011/07/02 06:24:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\GetRightToGo
[2009/08/31 16:34:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\GrabPro
[2009/08/09 15:16:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\gtk-2.0
[2007/02/21 08:35:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\ICQLite
[2007/03/16 07:03:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\InterVideo
[2012/12/03 19:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\IObit
[2007/03/01 10:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Leadertech
[2008/06/02 00:32:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\moka5
[2010/10/27 16:47:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\MSNStockQuote
[2008/03/25 23:28:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Netscape
[2009/05/26 16:17:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Nokia
[2007/03/05 20:30:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Opera
[2012/07/17 13:13:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Oracle
[2012/10/12 09:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Orbit
[2007/02/15 22:09:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\SampleView
[2007/04/09 18:59:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Sandbox
[2007/04/16 18:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Smart PC Solutions
[2010/02/19 18:15:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\SmartTools
[2008/09/19 15:48:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\SPORE Creature Creator
[2012/12/03 18:00:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Spyware Terminator
[2007/04/11 10:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Strokes 4.0
[2008/07/07 09:08:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Sync App Settings
[2007/11/01 01:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\T-Online
[2009/01/14 07:52:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Teeworlds
[2010/04/09 03:28:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Thinstall
[2012/12/29 19:20:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Thunderbird
[2010/07/22 13:10:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\tradesignal
[2007/03/07 09:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\TuneUp Software
[2008/03/27 20:13:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\uTorrent
[2008/12/03 19:26:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Vodafone
[2007/05/20 08:06:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\WNR
[2008/05/29 15:11:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\X-Setup Pro
[2008/07/30 21:49:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\XnView
[2008/12/03 04:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Bytemobile
[2012/04/13 06:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\EurekaLog
[2008/10/20 19:23:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SACore
[2008/08/30 03:44:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Bytemobile
[2010/02/23 22:31:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Bytemobile
[2007/12/18 17:35:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\CheckPoint
[2010/04/15 12:20:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Derixx GmbH
[2007/02/15 22:09:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\SampleView
[2012/12/30 14:33:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\TuneUp Software
[2007/05/12 13:25:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arovax
[2012/12/11 13:51:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2007/04/15 19:32:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
[2009/12/31 02:21:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012/12/03 19:29:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2008/08/05 11:20:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Derixx GmbH
[2012/11/10 13:21:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder
[2011/06/17 12:52:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elcomsoft Password Recovery
[2009/05/25 20:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2012/12/03 19:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit
[2008/07/11 18:21:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lenz + Partner AG
[2008/03/25 21:16:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2008/06/02 00:32:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\moka5
[2009/12/31 01:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2012/12/03 19:52:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2012/12/03 17:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
[2008/07/07 09:07:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sync App Settings
[2009/12/27 18:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SystemExplorer
[2007/10/31 15:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2010/04/09 04:28:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2007/03/07 10:17:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2008/12/19 13:18:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2008/05/29 15:11:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X-Setup Pro
[2011/05/12 10:58:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/12/03 19:29:24 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012/12/28 11:15:00 | 000,000,396 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 959 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:479B1DDE
@Alternate Data Stream - 153 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4BF2F6B5
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2BE9FEFC
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B606BA34
< End of report >
         
--- --- ---
__________________

Alt 31.12.2012, 13:22   #4
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Fixen mit OTLpe


  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.



  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
ATTFilter
:OTL
SRV - [2012/12/29 22:32:36 | 000,214,528 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll -- (winmgmt) 
O4 - Startup: C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 
O7 - HKU\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 67108863 

[2012/12/30 14:35:10 | 000,000,796 | ---- | M] () -- C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk 
@Alternate Data Stream - 959 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:479B1DDE 
@Alternate Data Stream - 153 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:4BF2F6B5 
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:2BE9FEFC 
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:B606BA34 
[2012/12/30 20:51:21 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad 
[2012/12/30 20:51:15 | 000,003,102 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js 

:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\Stefan\*.exe
C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
         

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.
__________________
Mfg, t'john
Das TB unterstützen

Alt 31.12.2012, 20:09   #5
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Erneut danke. Hast ja ganz schoen ausgemistet .

Als OTLPE das ueberschrieben hat, kam unten die Meldung, dass in nem Tempordner ne .jpg nen Fehler produziert. Das war unten bei der Uhr gestanden.

Im uebrigen passt eure Beschreibung fuer OTLPE nicht mehr exakt, es gab keinen OK Button, ich werde stattdessen gefragt ob ich jetzt Win neu starten will, ich geh mal davon aus ja. Ich habe davor noch schnell im Explorer die von dir genannte Datei kopiert und fuege sie dir jetzt an.

Schreibe dir gleich noch ob PC wieder ohne Fehler hochfaert.


HTML-Code:
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll moved successfully.
C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
Registry value HKEY_USERS\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
File C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:479B1DDE deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:4BF2F6B5 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:2BE9FEFC deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:B606BA34 deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: LocalService
->Temp folder emptied: 68472 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 4024461 bytes
 
User: Marco
->Temp folder emptied: 67512794 bytes
->Temporary Internet Files folder emptied: 2018393 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 58624084 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 9848297 bytes
 
User: NetworkService
->Temp folder emptied: 1756 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Stefan
->Temp folder emptied: 370840 bytes
->Temporary Internet Files folder emptied: 34552 bytes
->Java cache emptied: 65879 bytes
->FireFox cache emptied: 15012721 bytes
->Flash cache emptied: 348 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 430080 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 983505 bytes
 
Total Files Cleaned = 152.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 12312012_214051
So, als ich Win hoch gefahren hab ging von OTL selber nochmals der Log auf, ich denk den brauchst du und nicht den ich vorher gepostet hab und den ich kopiert habe nachdem der Fix geschrieben war.

Der war also jetzt nach dem Start von WIN

HTML-Code:
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll moved successfully.
C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
Registry value HKEY_USERS\Marco_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
File C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\runctf.lnk not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:479B1DDE deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:4BF2F6B5 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:2BE9FEFC deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:B606BA34 deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: LocalService
->Temp folder emptied: 68472 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 4024461 bytes
 
User: Marco
->Temp folder emptied: 67512794 bytes
->Temporary Internet Files folder emptied: 2018393 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 58624084 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 9848297 bytes
 
User: NetworkService
->Temp folder emptied: 1756 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Stefan
->Temp folder emptied: 370840 bytes
->Temporary Internet Files folder emptied: 34552 bytes
->Java cache emptied: 65879 bytes
->FireFox cache emptied: 15012721 bytes
->Flash cache emptied: 348 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 430080 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 983505 bytes
 
Total Files Cleaned = 152.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 12312012_214051

Files\Folders moved on Reboot...
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\Vm0weGQxSXlSblJWV0dSUFZtMW9WRmx0ZUV0V1JsbDNXa2M1Vmxac2JETldNalZyWVZVeFYxTnNaRmRpV0ZJelZrZDRZV1JHVm5OaFJtaG9UV3N3ZUZkV1VrdFRNVnAwVTJwYVUySkdXbkJWYWtaS1pXeGtWMWRzV214U01EVllWVzE0VjJGSFZuRlJWR3M5K00=.png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\21E1CBFD4447C97DB963EDF78E47F[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\384d88a52816f13ee22b459891fe0d[1].css not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\40AF2DD7EBAD8492F6971B1D814F1[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\4DB6691338939DE7CEECB4272E053[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\4E22AEB247AB9D2D66E1D3D44C567[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\6606F391915B4B58335289EB932[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\71498DC327096C420E23B949F1050[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\718799C7D1A6727F5A335BD7F0DD2F[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\77230F8987B54283377D950DC6A74[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\A001234A8131B82F0CA8F3A058EB[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\A2FB4361839DE9AE2BC4C9BBC3767[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\A8EFDD459D1AAC59ECE5E0E31D3A[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\ADSAdClient31[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\ADSAdClient31[2].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\AF583495703461CAA6209B823583FB[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\all[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\Application[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\arrow[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\background2DE[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\background3[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\background4[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\BE27A22B19870A233432A2C4A57A4[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\bf9223e258baaeb56c282aef2f5b1c[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\btn.80461603b10bcad420939ef5204c466a[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\C2ADD0FEE62A3E668AC5C755A1A[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\C2AEE2AA0330559B353BF04EEED7DFD2x[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\CAAVQR2T.swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\CC4C063549939191AFF55EF953DCA[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\CF32246C86E547AF6A97A73A54699[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\CFE43BEB9250318B8E7270FBBDB360[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\current[1] not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\D37B36189D56BEA434E9B93AE88C[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\D7C4F74C7BE5D6D74CAA8C1F9E15EC[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\DD204C971F88D3A172E34C77F7D4B[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\def8d1fef6d1abe01425c33316a5ee[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\deployJava[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\de[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\ebExpBanner_2_6_2_1[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\fcfdb45ce0d8123b0db88fe2a48eea[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\footer_gradient.8[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\Home[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\intro_background[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\Landing[1].de&accountID=6293243 not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\login[2].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\logo[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\nav_logo_hp2[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\SiteCatalyst[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\SiteCatalyst[3].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\space[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\sprite.8[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\sprite_main_nav.8[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\TickerCharts[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\Tracking[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\verisign-de[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\window[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\xd_arbiter[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\xd_arbiter[2].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1ER4567\_logo_marketindex[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\EEFAD714E8A2D9EC9AD3C53ABDAB92[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\FF61A591B2FE30AF8D9A638CB59F3[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\flash[1].swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\footer_gradient.8[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\hub[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\jquery.min[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\keepalive[1].pl not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\Landing[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\login[1].pl not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\mtrcs_229818[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\nl[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\OAP_MSN_Gallery_removeEyeDiv_ReportAll_v3[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\OBA_GERMANY_Anz[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\omnitureTracker[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7SPXWU8\pixel[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\E8D0ADBB2A8E8B901482D39144F539[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\EAB125B93FE6D4CC2B1DF65E799F5C[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\exclamation[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\FAB6F2E5941E78D942939DBCB87AE[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\financial-services[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\footer_gradient.8[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\ft[1].swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\ft[2].swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\hub[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\jquery.min[2].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\Landing[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\login[1].pl not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\login[2].pl not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ANI1K7MR\logo[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\8318C58A913F934FB4041D1ED63A5[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\98383FB333FD69067A2B561AF6034[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\A6A7D2B467D3263B5A4ED51D1871C456x[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\ACD09EBB66ED981567776AD3831BD1[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\ADSAdClient31[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\ADSAdClient31[2].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\AF9C4AFB479823E5D177BB883B15[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\arrow[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\arrow[2].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\building_tomorrow[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\C945CB07570419E418FD3AB896C[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\ft[1].swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\ft[2].swf not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\hubclient[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\intro_background[1].png not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\jquery-1.4.2.min[1].js not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\keepalive[1].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\Landing[1].de&accountID=6293243 not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\LatestVersion[1].txt not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\LoginLive[2].htm not found!
File\Folder C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\143B9XZD\logo[1].png not found!

Registry entries deleted on Reboot...
Also, WIN wurde wieder ohne diesen GVU Trojaner geladen! Schon mal klasse. Bevor ich den Benutzer waehlen konnte kam noch ne Fehlermeldung, dass diese .jpg Datei im Tempordner nicht zu finden ist.

WIN sieht aktuell hat spartanisch aus. Fast wie 98, ohne die aufgehuebschte Taskleiste und Netzwerk und viele weitere Programme wurden nicht geladen, aber ich nehme mal stark an das war ja deine Absicht. Also so gesehen alles super bis hierhin. Ein Fenster ist uebrigens noch aufgegangen, dass MWV nicht geladen werden konnte. Glaub hiess Windows Management .... und danach ging was mit nem Registryfenster auf wo ich das wohl haette einstellen sollen.

Im Uebrigen hab ich ne Vermutung wo der Virus sitzt. Ich hatte gestern ja noch 2 mal den PC normal gestartet und hab dann ueber den Tastmanager ja das Starten des Trojaners ein bisschen verlangsamen koenne. Er wird ja erst sehr spaet geladen und viele Programme vor ihm werden zu erst geladen. So konnte ich dabei zusehen wie ein Programm nach dem anderen im Taskmanager erschien. Die Meldung kam nachdem folgende Dateien geladen wurden

hdservice.exe glaub die muesste aber noch ok sein
danach wurde wdfmgr.exe geladen danach wuaudt.exe danach wmiapsrv.exe und danach rundll32.exe und das zwei mal, danach der iexplorer.exe mit dem wohl die Nachricht des GVU angezeigt wird und danach nochmals rundll32.exe und dann hat sich der PC runtergefahren.

Als sich der Virus ja installierte hat ja meine Firewall geblockt, dass rundll.32 eine datei mit dem Namen w.... in der Registry erstellen wollte. Hm..., vielleicht hilft das ebenfalls weiter.

Noch einen schoenen Abend und einen Guten Rutsch euch allen.

Marco

Binds nochmals kurz, habe jetzt noch schnell mit CCCleaner alle TempDateien entfernt und in meinem FirefoxPortable ebenfalls alles gelöscht (Cache, Cookies,...).

Beim zweiten mal hochfahren von WIN kam nun nicht mehr vor der Auswahl des Benutzerbildschirms dass eine .jpg geladen werden sollte und fehlt. Vielleicht war da der Trojaner drin?

ABER, weiß nicht ob das wegen dem Skript ist dass ich fixen sollte, aber ich kann nach wie vor nicht auf meine Uhrzeit zugreifen, dann bekomme ich nach wie vor die Meldung dass mir dafür die Rechte fehlen! Das war genau so als noch der GVU aktiv war, da konnte ich dies ebenfalls nicht.

Aber weiß nicht ob du mir diese "Recht" einfach nicht gegeben hast mit dem Fix und es deshalb jetzt nicht geht. Ich kann aktuell auch keine USB-Geräte anschließen, für diese läd er aktuell keine Treiber, aber das sollte definitiv mit dem Skript von dir zusammen hängen.

Programme lassen sich aber jetzt wieder problemlos starten und auch der Taskmanager kann wieder geöffnet werden.

Das war alles was mir jetzt aufgefallen ist.

Ach ja, die Meldung dass der Dienst WMI noch geladen werden sollte kommt immer noch und es geht dann immer noch ein Fenster mit Registry auf. Aber denk auch das war von dir so gewollt.

Hm..., hoffe das hilft dir alles weiter und habs für dich verständlich erklärt.

Nochmals einen guten Rutsch euch allen.

Marco


Alt 01.01.2013, 11:28   #6
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Zitat:
habe jetzt noch schnell mit CCCleaner
Bitte unterlasse es selbst was auszufuehren, bis wir hier fertig sind.
Damit kannst du deine Installation vollstaendig schrotten.


1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



Dann kuemmern wir uns um die Fehler.
__________________
--> Bundestrojaner neue Variante?

Alt 01.01.2013, 13:49   #7
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Alles klar! Werd ich befolgen.

Nochmals wegen dem Programm. Ich habs eh auf dem PC und sogar in der aktuellen Version, aber da ich mit den aktuell geladenen Programmen aus dem Autostart nicht ins Netz komm kann ich die Datenbank nicht aktuallisieren. Oder kann ich den Netzwerkdienst wieder unter Systemsteuerung freischalten? Auch USB-Sticks werden ja aktuell nicht mehr installiert und erkannt, also kann ich so die Datenbank auch nicht auf das System bringen. Ich hab mir darum jetzt Mama-Rules.exe gezogen, damit sollte man die Datenbank ja aktuallisieren können, aber wohl ist die nicht immer die aktuellste? Ich hoffe ich hab Glück und sie ist relativ aktuell. Diese Datei brenne ich jetzt auf ne CD und hoff dass mein XP zumindest von CDs liest. Melde mich dann später wenn ich alles durchlaufen habe lassen.

Marco

Alt 01.01.2013, 18:00   #8
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Kannst du die zwei Scans durchfuehren oder nicht?
__________________
Mfg, t'john
Das TB unterstützen

Alt 02.01.2013, 01:05   #9
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Sorry, war bis eben arbeiten und bin jetzt erst Heim gekommen. Habs noch kurz getestet, hatte mir nachmittags alles auf ne CD gebrannt und jetzt eben installiert. Klappt! Poste heute die Logs, lass es gleich nach'm Aufstehn drüber laufn. Dauert aber sicher ein paar Stunden da ich viele kleine Files aufm PC hab.

Ach ja und soll ich den AdwCleaner gleich nach Malwarebytes durchführen oder zuerst das Logfile von Malewarebytes posten?

Wie immer Danke und Gute Nacht.

Marco

Geändert von snaetsch (02.01.2013 um 01:14 Uhr)

Alt 02.01.2013, 08:03   #10
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Bitte beide Logs zusammen posten
__________________
Mfg, t'john
Das TB unterstützen

Alt 02.01.2013, 19:01   #11
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Hallo, hat jetzt gut 8 Std. gedauert, jetzt ist es aber endlich geschafft.

Zunaechst kurz was wichtiges. Nachdem Malwarebytes fertig war und ich das hab in Quarantaene schicken lassen hat der Rechner neu gestartet und wollte dann die Dateien wohl entfernen, das hat er letztlich auch das sie in Quarantaene zu finden sind, ABER, nach dem Start kam erst mal ein Bluescreen als ich mich unter meinem Benutzer anmeldete und dann hat der Rechner erneut neu gestartet, dieses mal zwar kein Bluscreen mehr, aber eine Infobox mit dem Inhalt, dass es Probleme beim laden des Moduls cleanup.dll gab von MalwareBytes. Diese Datei wurde nicht gefunde hiess es.

Danach hab ich dennoch AdwCleaner laufen lassen und auf loeschen gedrueckt. Hab also jetzt beide Logfiles.

Zunaechst MalwareBytes

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.31.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Marco :: SONGOKU [Administrator]

30.12.2012 11:37:30
mbam-log-2012-12-30 (11-37-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1398658
Laufzeit: 8 Stunde(n), 6 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Thinstall\Safari\40000017e00002i\Safari.exe (Rootkit.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Marco\File\Filetopia.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\12312012_214051\C_Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\otl2222\OTL nach Neustart\_OTL\MovedFiles\12312012_214051\C_Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\otl2222\_OTL\MovedFiles\12312012_214051\C_Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\SilentNight Microburner\microburner.exe (Backdoor.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Unlocker\eBay_shortcuts_1016.exe (Adware.Clicker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Hat wohl auch was von OTL geloescht wie es aussieht.

Ach ja und das Programm zeigte 10 Funde, aber nur 9 sind im Logfile.


Dann das Logfile des AdwCleaner

Code:
ATTFilter
# AdwCleaner v2.104 - Datei am 30/12/2012 um 20:12:40 erstellt
# Aktualisiert am 29/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : Marco - SONGOKU
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Marco\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Programme\Mozilla Firefox\.autoreg
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Save
Ordner Gelöscht : C:\Dokumente und Einstellungen\Marco\Startmenü\Programme\Save
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\Plasmoo

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\ICQToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.2180

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1505 octets] - [04/12/2012 01:26:45]
AdwCleaner[R2].txt - [1537 octets] - [30/12/2012 20:11:51]
AdwCleaner[S1].txt - [1470 octets] - [30/12/2012 20:12:40]

########## EOF - C:\AdwCleaner[S1].txt - [1530 octets] ##########
         
Nen schoenen Abend noch.

Marco

Alt 03.01.2013, 03:43   #12
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Mfg, t'john
Das TB unterstützen

Alt 03.01.2013, 17:07   #13
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Hallo,

habe das Programm wieder auf eine CD gebrannt und dann auf den PC kopiert. Das Update konnte ich aber nicht machen, da ich ja keine Netzwerke aktuell habe. Ich habe dann mit dem Mini PE das Programm gestartet und bin bis zum Punkt Update gegangen und habe es dann wieder geschlossen. Hoffe das Update wurde gespeichert wenn ich das Programm wieder mit dem richtigen Windows ausfuere.

Nun meine eigentliche Frage. Wenn ich das Programm auf dem richtigen Win starte kommt folgende Meldung nach dem ausfuehren der EXE.

Registry value appInit dlls has been found, which may be caused by rootkit activiy.

Note Press No button in you re not sure. If the tool crashes or terminates unexpectedly during a system scan, restart the tool and press Yes should this message appear again.

Do you want to remove this value and restart the tool


Sorry kann mit dem Mini PE keine Sonderzeichen machen, da es ja auf englische Tastatur eingestellt ist.

Soll ich Ja oder Nein waehlen. Haette Nein nehmen wollen, aber war mir nicht sicher.

Schoenen Abend.

Marco

Alt 03.01.2013, 18:29   #14
t'john
/// Helfer-Team
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Hast du kein USB Stick?

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 03.01.2013, 18:41   #15
snaetsch
 
Bundestrojaner neue Variante? - Standard

Bundestrojaner neue Variante?



Doch hab Sticks, aber mit dem aktuellen OTL der Startprogramme lädt er mir weder Netzwerke noch externe Speichermedien! Die werden einfach nicht erkannt und nicht installiert!

Soll ich Malwarebytes noch durchführen oder bleiben lassen da ja die Meldung kam? Und wenn durchführen Ja oder Nein drücken?

Oder aber gleich das neue Programm verwenden welches nun vorgeschlagen wurde?

Erneut danke!

Marco

Antwort

Themen zu Bundestrojaner neue Variante?
48 stunden, adware.clicker, automatisch, backdoor.bot, backdoor.small, datei, gelöscht, internet, langsam, malware.trace, netzwerk, neue, nicht mehr, programme, pum.hijack.startmenu, rechner, rootkit.dropper, rundll, rundll32.exe, scan, schädlinge, sekunden, trojan.fakems, wlan



Ähnliche Themen: Bundestrojaner neue Variante?


  1. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  2. Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Diskussionsforum - 10.04.2013 (1246)
  3. Neue Variante von ukash - nicht auffindbar
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (3)
  4. neue Variante des GVU-Trojaners eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  5. Windows Verschlüsselungstrojaner - neue Variante
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  6. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  7. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  8. Evtl neue smitfraud variante ??
    Log-Analyse und Auswertung - 18.08.2005 (7)
  9. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  10. Neue Sober-Variante mit deutschem Mail-Text
    Plagegeister aller Art und deren Bekämpfung - 31.01.2005 (2)
  11. Neue Sober Variante F aufgetaucht
    Plagegeister aller Art und deren Bekämpfung - 04.04.2004 (0)
  12. Neue Sober.D-Variante
    Plagegeister aller Art und deren Bekämpfung - 09.03.2004 (2)
  13. Neue Sober Wurm Variante
    Plagegeister aller Art und deren Bekämpfung - 22.12.2003 (3)
  14. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)
  15. Neue KLEZ- Variante??
    Plagegeister aller Art und deren Bekämpfung - 23.06.2003 (12)
  16. Neue Variante des Yaha-Wurms auf dem Vormarsch
    Archiv - 13.01.2003 (8)

Zum Thema Bundestrojaner neue Variante? - Hallo liebe Forumsteilnehmer, ich würde heute nicht schreiben wenn ich echt Hilfe benötigen würde. Ich kenn mich selber ein bisschen mit PCs aus, aber wie es scheint habe ich mir - Bundestrojaner neue Variante?...
Archiv
Du betrachtest: Bundestrojaner neue Variante? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.