kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe

burningwreck · 06.05.2011, 02:11

Liebe Leute,

ich habe heute das erste mal was mit Trojanern am Hut gehabt... Was für ein Elend! Ziemlich frustrierend das Ganze, da ich nicht mal im Ansatz weiß, was ich zu tun habe. Daher möchte ich mich heute an Euch wenden und hoffe inständig, dass jemand eine Lösung für mein Problem kennt.

Ich habe seit heute immer wieder eine Meldung von ESET Smart Security 4, die ich als Anhang "Trojaner Bild 1" und "Trojaner Bild 2" hochgelanden habe.

Laut ESET geht die Anwendung von "C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe" aus.

Ich habe dann noch eine Warnung von ESET bekommen, die sagte, dass es sich um einen art des kryptik.NIT-Trojaners handelt. Über diese Unterart habe ich im Netz nichts finden können, so dass ich mich nun an Euch wenden möchte.

Als erstes habe ich mich an den Beschreibungen hier im Board orientiert und möchte Euch im Folgenden die Ergebnisse des Scans via OTL 3.2.22.3 mitteilen:

OTL.txt sieht aus wie folgt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 06.05.2011 02:40:55 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Alexander\Desktop
64bit-Windows Vista Ultimate Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19048)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
8,00 Gb Total Physical Memory | 6,00 Gb Available Physical Memory | 71,00% Memory free
16,00 Gb Paging File | 14,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 195,77 Gb Total Space | 18,70 Gb Free Space | 9,55% Space Free | Partition Type: NTFS
Drive D: | 205,08 Gb Total Space | 192,52 Gb Free Space | 93,88% Space Free | Partition Type: NTFS
Drive E: | 195,32 Gb Total Space | 20,61 Gb Free Space | 10,55% Space Free | Partition Type: NTFS
Drive K: | 1863,01 Gb Total Space | 26,01 Gb Free Space | 1,40% Space Free | Partition Type: NTFS
 
Computer Name: ALEXANDER-PC | User Name: Alexander | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe
PRC - [2011.04.30 18:37:33 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2011.03.01 16:47:56 | 007,832,440 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer.exe
PRC - [2011.03.01 16:47:56 | 002,296,696 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
PRC - [2011.01.20 11:20:12 | 001,305,408 | ---- | M] (DT Soft Ltd) -- C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
PRC - [2010.12.09 04:59:31 | 000,134,656 | ---- | M] (Qooulxaowj Palghf) -- C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe
PRC - [2010.02.26 07:10:20 | 021,979,992 | ---- | M] () -- C:\Users\Alexander\AppData\Roaming\Dropbox\bin\Dropbox.exe
PRC - [2009.12.08 12:46:32 | 000,185,640 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe
PRC - [2009.11.11 11:57:36 | 001,451,520 | ---- | M] (Nokia) -- C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe
PRC - [2009.10.27 10:26:36 | 000,657,408 | ---- | M] (Nokia) -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
PRC - [2009.10.27 10:15:02 | 000,120,832 | ---- | M] (Nokia) -- C:\Program Files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe
PRC - [2009.04.09 23:19:28 | 000,091,496 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files (x86)\Common Files\Nuance\NaturallySpeaking10\dgnuiasvr.exe
PRC - [2009.04.09 23:15:46 | 002,844,008 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files (x86)\Nuance\NaturallySpeaking10\Program\natspeak.exe
PRC - [2009.02.06 11:57:12 | 000,727,720 | ---- | M] (ESET) -- C:\Programme\ESET\ESET Smart Security\x86\ekrn.exe
PRC - [2007.03.14 15:35:02 | 000,520,192 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe
PRC - [2006.09.07 01:01:00 | 000,032,768 | ---- | M] (Creative Technology Ltd.) -- C:\Windows\V0230Mon.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe
MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll
MOD - [2010.05.04 21:13:07 | 000,231,424 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\msshsq.dll
MOD - [2010.02.07 04:21:38 | 000,632,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d08d7da0442a985d\msvcr80.dll
MOD - [2009.10.12 21:15:11 | 000,097,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll
MOD - [2008.01.21 04:50:15 | 000,183,808 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\duser.dll
MOD - [2006.11.02 17:00:07 | 000,009,728 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\IconCodecService.dll
MOD - [2006.11.02 10:33:06 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\normaliz.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2009.06.30 01:44:16 | 001,038,088 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64)
SRV:64bit: - [2009.02.25 23:34:02 | 000,949,760 | ---- | M] (ATI Technologies Inc.) [Auto | Running] -- C:\Windows\SysNative\Ati2evxx.exe -- (Ati External Event Utility)
SRV:64bit: - [2009.02.06 12:00:26 | 000,023,296 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe -- (EhttpSrv)
SRV:64bit: - [2009.02.06 11:57:12 | 000,727,720 | ---- | M] (ESET) [Auto | Running] -- C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe -- (ekrn)
SRV:64bit: - [2008.01.21 04:50:23 | 000,195,584 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2011.03.01 16:47:56 | 002,296,696 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.12.08 12:46:32 | 000,185,640 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5)
SRV - [2009.10.27 10:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand | Running] -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.09.23 16:37:30 | 000,051,168 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files (x86)\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2009.06.30 01:42:00 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.03.30 06:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2008.08.15 05:46:20 | 000,284,016 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe -- (Adobe Version Cue CS4)
SRV - [2007.05.31 11:11:54 | 000,443,784 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2007.05.31 11:11:46 | 000,225,672 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2011.01.30 03:39:24 | 000,254,528 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\dtsoftbus01.sys -- (dtsoftbus01)
DRV:64bit: - [2010.06.10 01:01:10 | 000,055,856 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\PxHlpa64.sys -- (PxHlpa64)
DRV:64bit: - [2009.10.17 21:31:33 | 000,871,408 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)
DRV:64bit: - [2009.10.06 12:54:18 | 000,008,704 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser_lowerfltx64j.sys -- (UsbserFilt)
DRV:64bit: - [2009.10.06 12:53:56 | 000,025,088 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbox64.sys -- (nmwcdcx64)
DRV:64bit: - [2009.10.06 12:53:56 | 000,008,704 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usbser_lowerfltx64.sys -- (upperdev)
DRV:64bit: - [2009.10.06 12:53:54 | 000,018,944 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbx64.sys -- (nmwcdx64)
DRV:64bit: - [2009.05.18 14:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2009.04.11 07:43:06 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx)
DRV:64bit: - [2009.04.11 07:39:37 | 000,032,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbser.sys -- (usbser)
DRV:64bit: - [2009.02.26 01:00:20 | 005,265,920 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2009.02.20 07:18:02 | 000,110,096 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV:64bit: - [2009.02.06 11:58:26 | 000,044,944 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\epfwwfp.sys -- (epfwwfp)
DRV:64bit: - [2009.02.06 11:58:22 | 000,033,608 | ---- | M] (ESET) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Epfwndis.sys -- (Epfwndis)
DRV:64bit: - [2009.02.06 11:58:20 | 000,163,400 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\epfw.sys -- (epfw)
DRV:64bit: - [2009.02.06 11:56:58 | 000,132,464 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\ehdrv.sys -- (ehdrv)
DRV:64bit: - [2009.02.06 11:53:52 | 000,141,728 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\eamon.sys -- (eamon)
DRV:64bit: - [2008.12.10 16:37:52 | 000,184,832 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169)
DRV:64bit: - [2008.08.28 12:44:42 | 000,025,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\pccsmcfdx64.sys -- (pccsmcfd)
DRV:64bit: - [2008.08.06 15:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\DRHARD64.sys -- (DRHARD64)
DRV:64bit: - [2007.08.07 01:03:00 | 000,595,488 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\V0230VID.sys -- (V0230VID)
DRV:64bit: - [2007.03.14 15:34:16 | 000,054,072 | ---- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\DgiVecp.sys -- (DgiVecp)
DRV:64bit: - [2007.03.14 15:34:16 | 000,011,576 | ---- | M] (Samsung Electronics) [Kernel | Auto | Running] -- C:\Windows\SysNative\Drivers\SSPORT.sys -- (SSPORT)
DRV:64bit: - [2006.09.18 23:36:24 | 000,000,308 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\Wbem\ntfs.mof -- (Ntfs)
DRV:64bit: - [2006.05.05 01:00:00 | 000,010,752 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\V0230Vfx.sys -- (V0230Vfx)
DRV - [2008.08.14 07:57:42 | 000,074,720 | ---- | M] (Adobe Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysWow64\drivers\adfs.sys -- (adfs)
DRV - [2008.08.06 15:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysWOW64\drivers\DRHARD64.sys -- (DRHARD64)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 30 23 81 C4 EF 40 CB 01 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "google.de"
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1
FF - prefs.js..extensions.enabledItems: 6
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 48
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.2.44172
FF - prefs.js..extensions.enabledItems: {76C80A11-FAD4-406c-8246-F5ED4F9367B5}:0.1.7
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.2
FF - prefs.js..extensions.enabledItems: {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}:7.2.0.8
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:2.1.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.9.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:3.3.3.2
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2011.04.30 18:37:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.04.30 18:37:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2009.10.22 23:08:57 | 000,000,000 | ---D | M]
 
[2009.04.13 08:32:13 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Extensions
[2011.05.05 23:14:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions
[2011.04.26 11:31:41 | 000,000,000 | ---D | M] (FlashGot) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010.01.30 09:00:56 | 000,000,000 | ---D | M] (Copy Links) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{76C80A11-FAD4-406c-8246-F5ED4F9367B5}
[2011.04.26 11:31:40 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
[2011.04.26 11:31:45 | 000,000,000 | ---D | M] (iMacros for Firefox) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}
[2010.12.11 03:14:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2009.10.13 16:20:19 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2011.03.16 04:24:25 | 000,000,000 | ---D | M] (Personas) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\personas@christopher.beard
[2011.04.26 11:29:05 | 000,000,000 | ---D | M] (Cooliris) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\piclens@cooliris.com
[2011.04.26 11:29:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\piclens@cooliris.com-trash
[2011.04.26 11:31:43 | 000,000,000 | ---D | M] (Zotero) -- C:\Users\Alexander\AppData\Roaming\mozilla\Firefox\Profiles\44xz4hb4.default\extensions\zotero@chnm.gmu.edu
[2011.01.18 06:18:18 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2010.05.23 00:04:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.09.26 18:26:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2011.01.18 06:18:18 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.03.19 10:23:30 | 000,686,592 | ---- | M] (Synatix GmbH) -- C:\Program Files (x86)\mozilla firefox\plugins\npmieze.dll
[2010.09.27 08:57:09 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.09.27 08:57:09 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.01.16 00:55:29 | 000,000,143 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\foxsearch.src
[2010.09.27 08:57:09 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.09.27 08:57:09 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.09.27 08:57:09 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.30 02:33:00 | 000,000,794 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O1 - Hosts: 127.0.0.1                activate.adobe.com
O2 - BHO: (ContributeBHO Class) - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll ()
O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll (FlashGet)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Contribute Toolbar) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll ()
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Alexander\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Alexander\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O4:64bit: - HKLM..\Run: [egui] C:\Program Files\ESET\ESET Smart Security\egui.exe (ESET)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [Skytel] C:\Programme\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [DNS7reminder] C:\Program Files (x86)\Nuance\NaturallySpeaking10\Ereg\Ereg.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [V0230Mon.exe] C:\Windows\V0230Mon.exe (Creative Technology Ltd.)
O4 - HKCU..\Run: [{2DFE2DEE-B2D1-B24A-B715-9557C7CB1961}] C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe (Qooulxaowj Palghf)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [ISUSPM Startup] File not found
O4 - HKCU..\Run: [PC Suite Tray] C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia)
O4 - HKCU..\Run: [WMPNSCFG] File not found
O4 - Startup: C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dragon NaturallySpeaking.lnk = C:\Program Files (x86)\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.)
O4 - Startup: C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Alexander\AppData\Roaming\Dropbox\bin\Dropbox.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: &Download All by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm ()
O8:64bit: - Extra context menu item: &Download by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm ()
O8:64bit: - Extra context menu item: add to &BOM - C:\\PROGRA~2\\BIET-O~1\\\\AddToBOM.hta ()
O8:64bit: - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm ()
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files (x86)\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm ()
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~2\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range - 5)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img36.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img36.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.05 03:14:37 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3e0d4031-bb54-11de-b783-001d92f6d290}\Shell - "" = AutoRun
O33 - MountPoints2\{3e0d4031-bb54-11de-b783-001d92f6d290}\Shell\AutoRun\command - "" = Q:\start.exe
O33 - MountPoints2\{ba096678-2449-11de-8139-be097062187a}\Shell - "" = AutoRun
O33 - MountPoints2\{ba096678-2449-11de-8139-be097062187a}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -a
O33 - MountPoints2\{d1672f2a-ca03-11df-a2ee-001d92f6d290}\Shell\AutoRun\command - "" = I:\Toshiba\Launcher\start.exe
O33 - MountPoints2\{fab122f7-24d5-11de-9e9d-001d92f6d290}\Shell - "" = AutoRun
O33 - MountPoints2\{fab122f7-24d5-11de-9e9d-001d92f6d290}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX:64bit: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7070D8E0-650A-46b3-B03C-9497582E6A74} - %SystemRoot%\system32\soundschemes.exe /AddRegistration
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.06 02:38:34 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.05.06 02:35:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ERUNT
[2011.05.06 02:35:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ERUNT
[2011.05.06 02:25:02 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Users\Alexander\Desktop\TFC.exe
[2011.05.06 02:25:01 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe
[2011.05.06 02:24:55 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Users\Alexander\Desktop\Erunt-setup.exe
[2011.05.05 04:18:46 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\EZB
[2011.05.02 22:05:15 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\London
[2011.04.30 21:52:34 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\noch an Alex
[2011.04.26 17:09:23 | 000,000,000 | ---D | C] -- C:\Users\Alexander\Desktop\Teneriffa
[2 C:\Users\Alexander\Desktop\*.tmp files -> C:\Users\Alexander\Desktop\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.06 02:35:56 | 001,453,910 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.05.06 02:35:56 | 000,632,014 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.05.06 02:35:56 | 000,598,702 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.05.06 02:35:56 | 000,127,258 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.05.06 02:35:56 | 000,104,716 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.05.06 02:35:13 | 000,000,776 | ---- | M] () -- C:\Users\Alexander\Desktop\NTREGOPT.lnk
[2011.05.06 02:35:13 | 000,000,757 | ---- | M] () -- C:\Users\Alexander\Desktop\ERUNT.lnk
[2011.05.06 02:32:46 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2011.05.06 02:29:56 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.05.06 02:29:42 | 000,004,960 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.05.06 02:29:42 | 000,004,960 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.05.06 02:29:35 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.05.06 02:27:58 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2011.05.06 02:25:21 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Users\Alexander\Desktop\Erunt-setup.exe
[2011.05.06 02:25:19 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\OTL.exe
[2011.05.06 02:25:16 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Users\Alexander\Desktop\TFC.exe
[2011.05.06 02:20:02 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.05.06 02:03:08 | 000,100,686 | ---- | M] () -- C:\Users\Alexander\Desktop\4.JPG
[2011.05.06 02:02:23 | 000,100,686 | ---- | M] () -- C:\Users\Alexander\Desktop\3.JPG
[2011.05.06 02:01:45 | 000,132,005 | ---- | M] () -- C:\Users\Alexander\Desktop\2.JPG
[2011.05.06 02:01:16 | 000,163,298 | ---- | M] () -- C:\Users\Alexander\Desktop\1.JPG
[2011.05.06 01:50:38 | 000,377,282 | ---- | M] () -- C:\Users\Alexander\Desktop\Load.exe
[2011.05.06 00:32:38 | 000,158,208 | ---- | M] () -- C:\Users\Alexander\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.06 00:24:24 | 000,041,968 | ---- | M] () -- C:\Users\Alexander\Desktop\Trojaner Bild 2.JPG
[2011.05.06 00:23:54 | 000,042,051 | ---- | M] () -- C:\Users\Alexander\Desktop\Trojaner Bild 1.JPG
[2011.05.05 16:13:38 | 000,057,846 | ---- | M] () -- C:\Users\Alexander\Desktop\l.jpg
[2011.05.05 03:00:08 | 000,000,532 | ---- | M] () -- C:\Windows\tasks\NatSpeak Periodic Language Model Optimization.job
[2011.05.01 02:08:59 | 000,000,518 | ---- | M] () -- C:\Windows\tasks\NatSpeak Periodic Acoustic Optimization.job
[2011.04.29 19:41:17 | 000,757,553 | ---- | M] () -- C:\Users\Alexander\Desktop\Kündigung Alexander Müller.jpg
[2011.04.29 00:12:57 | 1876,902,710 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.04.28 01:17:22 | 001,663,849 | ---- | M] () -- C:\Users\Alexander\Desktop\TalentEvent 2011.pdf
[2011.04.28 00:52:14 | 003,730,900 | ---- | M] () -- C:\Users\Alexander\Desktop\Newsletter.pdf
[2011.04.28 00:51:17 | 005,528,058 | ---- | M] () -- C:\Users\Alexander\Desktop\Einladung BVH-SummerEvent 2011.pdf
[2011.04.26 15:56:57 | 005,284,067 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_3276.JPG
[2011.04.26 15:54:51 | 005,636,768 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_2638.JPG
[2011.04.26 15:54:28 | 008,137,011 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_2464.JPG
[2011.04.26 15:51:55 | 004,768,557 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_1970.JPG
[2011.04.26 15:49:32 | 004,767,688 | ---- | M] () -- C:\Users\Alexander\Desktop\IMG_1765.JPG
[2011.04.26 15:44:07 | 001,541,385 | ---- | M] () -- C:\Users\Alexander\Desktop\(102).JPG
[2011.04.26 11:24:31 | 002,992,672 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2 C:\Users\Alexander\Desktop\*.tmp files -> C:\Users\Alexander\Desktop\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.06 02:35:13 | 000,000,776 | ---- | C] () -- C:\Users\Alexander\Desktop\NTREGOPT.lnk
[2011.05.06 02:35:13 | 000,000,757 | ---- | C] () -- C:\Users\Alexander\Desktop\ERUNT.lnk
[2011.05.06 02:03:19 | 000,377,282 | ---- | C] () -- C:\Users\Alexander\Desktop\Load.exe
[2011.05.06 02:03:06 | 000,100,686 | ---- | C] () -- C:\Users\Alexander\Desktop\4.JPG
[2011.05.06 02:02:21 | 000,100,686 | ---- | C] () -- C:\Users\Alexander\Desktop\3.JPG
[2011.05.06 02:01:42 | 000,132,005 | ---- | C] () -- C:\Users\Alexander\Desktop\2.JPG
[2011.05.06 02:01:13 | 000,163,298 | ---- | C] () -- C:\Users\Alexander\Desktop\1.JPG
[2011.05.06 00:24:21 | 000,041,968 | ---- | C] () -- C:\Users\Alexander\Desktop\Trojaner Bild 2.JPG
[2011.05.06 00:23:48 | 000,042,051 | ---- | C] () -- C:\Users\Alexander\Desktop\Trojaner Bild 1.JPG
[2011.05.05 16:13:37 | 000,057,846 | ---- | C] () -- C:\Users\Alexander\Desktop\l.jpg
[2011.04.29 19:41:17 | 000,757,553 | ---- | C] () -- C:\Users\Alexander\Desktop\Kündigung Alexander Müller.jpg
[2011.04.28 01:17:01 | 001,663,849 | ---- | C] () -- C:\Users\Alexander\Desktop\TalentEvent 2011.pdf
[2011.04.28 00:51:36 | 003,730,900 | ---- | C] () -- C:\Users\Alexander\Desktop\Newsletter.pdf
[2011.04.28 00:51:17 | 005,528,058 | ---- | C] () -- C:\Users\Alexander\Desktop\Einladung BVH-SummerEvent 2011.pdf
[2011.04.26 15:56:29 | 005,284,067 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_3276.JPG
[2011.04.26 15:54:29 | 005,636,768 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_2638.JPG
[2011.04.26 15:53:55 | 008,137,011 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_2464.JPG
[2011.04.26 15:51:25 | 004,768,557 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_1970.JPG
[2011.04.26 15:48:34 | 004,767,688 | ---- | C] () -- C:\Users\Alexander\Desktop\IMG_1765.JPG
[2011.04.26 15:43:23 | 001,541,385 | ---- | C] () -- C:\Users\Alexander\Desktop\(102).JPG
[2010.02.25 17:12:43 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2010.02.11 06:49:31 | 000,000,466 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2010.02.04 15:14:19 | 000,000,106 | ---- | C] () -- C:\ProgramData\bbbotsoftid.ini
[2010.01.31 17:52:22 | 000,015,873 | ---- | C] () -- C:\Windows\SysWow64\Inetde.dll
[2009.12.10 09:44:04 | 001,448,408 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2009.10.20 13:08:50 | 000,117,248 | ---- | C] () -- C:\Windows\SysWow64\EhStorAuthn.dll
[2009.10.20 13:08:06 | 000,107,612 | ---- | C] () -- C:\Windows\SysWow64\StructuredQuerySchema.bin
[2009.10.20 13:07:31 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.10.18 05:40:27 | 000,002,717 | ---- | C] () -- C:\Users\Alexander\AppData\Roaming\SAS7_000.DAT
[2009.10.13 16:20:21 | 000,000,680 | ---- | C] () -- C:\Users\Alexander\AppData\Local\d3d9caps.dat
[2009.07.05 18:46:24 | 000,000,125 | -HS- | C] () -- C:\ProgramData\.zreglib
[2009.06.20 21:41:24 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009.06.02 05:22:26 | 000,221,184 | ---- | C] () -- C:\Windows\SysWow64\CGRegister.exe
[2009.06.02 05:22:26 | 000,000,039 | ---- | C] () -- C:\Windows\SysWow64\WinPPAddress.ini
[2009.06.02 05:22:25 | 000,598,016 | ---- | C] () -- C:\Windows\SysWow64\ImageProcess.dll
[2009.06.02 05:22:25 | 000,176,128 | ---- | C] () -- C:\Windows\SysWow64\VideoPlayer.dll
[2009.06.02 05:22:25 | 000,131,072 | ---- | C] () -- C:\Windows\SysWow64\TransSaveStatus.dll
[2009.04.14 09:06:50 | 000,466,944 | ---- | C] () -- C:\Windows\ssndii.exe
[2009.04.09 17:33:35 | 000,158,208 | ---- | C] () -- C:\Users\Alexander\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.09 00:48:23 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2009.04.09 00:00:28 | 000,146,432 | ---- | C] () -- C:\Windows\SysWow64\APOMngr.DLL
[2009.04.09 00:00:28 | 000,072,704 | ---- | C] () -- C:\Windows\SysWow64\CmdRtr.DLL
[2009.04.06 21:34:06 | 000,001,460 | ---- | C] () -- C:\Users\Alexander\AppData\Local\d3d9caps64.dat
[2008.12.12 23:15:57 | 000,018,904 | ---- | C] () -- C:\Windows\SysWow64\StructuredQuerySchemaTrivial.bin
[2008.01.21 04:49:10 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini
[2006.11.02 17:35:48 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:37:14 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2006.11.02 14:24:17 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2006.11.02 14:18:17 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2006.11.02 11:47:54 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
 
========== LOP Check ==========
 
[2010.12.13 11:59:08 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Auslogics
[2010.12.11 03:14:29 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Azureus
[2010.11.20 22:47:30 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\BITS
[2011.01.24 02:51:14 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\BOM
[2010.05.04 23:57:10 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\capella-software
[2011.05.05 22:57:26 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Cyoca
[2009.10.17 21:47:44 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\DAEMON Tools Lite
[2010.10.01 04:44:16 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\de.myphotobook.creator.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1
[2011.05.06 02:31:57 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Dropbox
[2009.04.09 13:44:51 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\ESET
[2010.03.01 13:46:09 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\GetRightToGo
[2011.01.16 00:55:29 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Gutscheinmieze
[2010.10.06 02:10:07 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Jpeg Resampler
[2009.04.09 18:03:05 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\mobackups
[2010.11.01 02:07:01 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\MP3SkypeRecorder
[2009.10.19 16:09:35 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Nokia
[2009.10.17 22:00:13 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Nuance
[2009.10.19 16:09:42 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\PC Suite
[2009.10.18 06:15:01 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\SharePod
[2011.03.13 20:56:28 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\TeamViewer
[2010.12.09 04:59:31 | 000,000,000 | ---D | M] -- C:\Users\Alexander\AppData\Roaming\Yvap
[2011.05.01 02:08:59 | 000,000,518 | ---- | M] () -- C:\Windows\Tasks\NatSpeak Periodic Acoustic Optimization.job
[2011.05.05 03:00:08 | 000,000,532 | ---- | M] () -- C:\Windows\Tasks\NatSpeak Periodic Language Model Optimization.job
[2011.05.06 02:27:58 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.11.01 02:07:22 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2009.04.09 00:42:34 | 000,000,000 | ---D | M] -- C:\ATI
[2011.04.27 02:15:16 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2006.11.02 17:41:02 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2009.04.06 21:32:01 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2009.06.17 04:07:26 | 000,000,000 | ---D | M] -- C:\Live!Cam
[2009.04.09 17:38:22 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2008.01.21 05:03:26 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2009.04.10 19:59:41 | 000,000,000 | ---D | M] -- C:\profiles
[2010.08.15 00:03:02 | 000,000,000 | R--D | M] -- C:\Programme
[2011.05.06 02:35:12 | 000,000,000 | R--D | M] -- C:\Program Files (x86)
[2011.01.18 03:54:10 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2009.04.06 21:32:01 | 000,000,000 | -HSD | M] -- C:\Programme
[2008.08.13 00:23:10 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.05.06 02:42:42 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.10.06 01:18:10 | 000,000,000 | R--D | M] -- C:\Users
[2011.05.06 02:38:34 | 000,000,000 | ---D | M] -- C:\Windows
[2010.03.01 15:01:53 | 000,000,000 | ---D | M] -- C:\WinSetupFromUSB
 
< %PROGRAMFILES%\*.exe >
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2008.12.12 23:58:28 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_b5f700fe698beb14\explorer.exe
[2008.12.12 23:58:27 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_b7eb106e66a7ac19\explorer.exe
[2008.12.12 23:58:28 | 003,087,360 | ---- | M] (Microsoft Corporation) MD5=50514057C28A74BAC2BD04B7B990D615 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_aba256ac352b2919\explorer.exe
[2008.12.12 23:58:27 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_b8583e9d7fda0512\explorer.exe
[2009.04.11 09:10:17 | 003,079,168 | ---- | M] (Microsoft Corporation) MD5=6B08E54A451B3F95E4109DBA7E594270 -- C:\Windows\explorer.exe
[2009.04.11 09:10:17 | 003,079,168 | ---- | M] (Microsoft Corporation) MD5=6B08E54A451B3F95E4109DBA7E594270 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_afbebba22f3bab41\explorer.exe
[2008.12.12 23:58:28 | 003,086,848 | ---- | M] (Microsoft Corporation) MD5=72B9990E45C25AA3C75C4FB50A9D6CE0 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_ac5266dd4e2b0a41\explorer.exe
[2008.12.12 23:58:27 | 003,080,704 | ---- | M] (Microsoft Corporation) MD5=BBD8E74F23D7605CB0CDB57A1B25D826 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_ad96661c3246ea1e\explorer.exe
[2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\SysWOW64\explorer.exe
[2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_ba1365f4639c6d3c\explorer.exe
[2008.12.12 23:58:27 | 003,081,216 | ---- | M] (Microsoft Corporation) MD5=E404A65EF890140410E9F3D405841C95 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_ae03944b4b794317\explorer.exe
[2008.12.12 23:58:28 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_b6a7112f828bcc3c\explorer.exe
[2008.01.21 04:47:50 | 003,080,704 | ---- | M] (Microsoft Corporation) MD5=F6D765FB6B457542D954682F50C26E4F -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_add342963219dff5\explorer.exe
[2008.01.21 04:48:30 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_b827ece8667aa1f0\explorer.exe
 
< MD5 for: REGEDIT.EXE >
[2008.01.21 04:48:58 | 000,161,792 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\regedit.exe
[2008.01.21 04:49:35 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\SysWOW64\regedit.exe
[2008.01.21 04:49:35 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\winsxs\wow64_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_5aa1fb3ac896d9c8\regedit.exe
[2008.01.21 04:48:58 | 000,161,792 | ---- | M] (Microsoft Corporation) MD5=5DFBCE56E689D90AE9E2FB278F80058E -- C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_504d50e8943617cd\regedit.exe
 
< MD5 for: USERINIT.EXE >
[2008.01.21 04:49:40 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\SysWOW64\userinit.exe
[2008.01.21 04:49:40 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2008.01.21 04:48:49 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\SysNative\userinit.exe
[2008.01.21 04:48:49 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_384755998a0d6941\userinit.exe
 
< MD5 for: WININIT.EXE >
[2008.01.21 04:47:10 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\SysWOW64\wininit.exe
[2008.01.21 04:47:10 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2008.01.21 04:49:28 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\SysNative\wininit.exe
[2008.01.21 04:49:28 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_8d115452bcae17d8\wininit.exe
 
< MD5 for: WINLOGON.EXE >
[2009.04.11 09:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\SysNative\winlogon.exe
[2009.04.11 09:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_cdcd15a68a70b877\winlogon.exe
[2008.01.21 04:48:54 | 000,406,016 | ---- | M] (Microsoft Corporation) MD5=856491FCED98093D824B9EB2892F564A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_cbe19c9a8d4eed2b\winlogon.exe
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SysWOW64\winlogon.exe
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008.01.21 04:49:41 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
 
< >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 72 bytes -> C:\Windows:00DD0A2B44F29988
@Alternate Data Stream - 164 bytes -> C:\ProgramData\TEMP:0CE7F3C9
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:63238B95
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:F35A93AD
@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:07BF512B
@Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:664FE078
 
< End of report >

--- --- ---

Ich habe zwar nicht die geringste Ahnung, was das alles auf sich hat, vertraue aber auf Eure Kompetenz und freue mich riesig auf Post/Kommentare von Euch.

Bis dahin verbleibe ich erst einmal mit den besten Grüßen

Euer Alexander

markusg · 06.05.2011, 10:49

hallo,
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

burningwreck · 06.05.2011, 13:48

Jupp. Eigentlich schon. Onlinebanking allerdings mit nummerierten Tans, so dass da so gut wie nichts passieren kann. Allerdings bezahl ich so einige Sachen mit paypal oder Kreditkarte online. Die Frage nach Sonst was wichitgem ist mir allerdings nicht spezifiziert genug, um sie beantworten zu können. Ich schreibe wissenschaftliche Arbeiten, bearbeite Bilder, schneide Videos, etc.. Das ist zwar für mich recht wichtig, aber nicht unbedingt wichtig für andere Leute, die daraus möglicherweise Kapital schlagen könnten...

Ich habe heute eine weitere Warnung von ESET bekommen, in der der gleiche Trojaner (C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe) als win32/injector.geg ausgegeben wurde... (nur zur Info)

markusg · 06.05.2011, 14:17

hi, tan nummern sind das unsicherste online-banking verfahren was es gibt.
desweiteren sieht mir dieser trojaner sehr nach einem aus, der es auf deine bank daten abgesehen hatt, sowie paypal etc.
bitte rufe sofort!!
die bank an, lasse das onlinebanking sperren.
falls die bank zu hatt, notfall nummer: 116 116
schildere dein problem dort.
ich werde dir später auch erklären welches onlinebanking verfahren du nutzen solltest.
falls du hast, nutze einen zweiten pc, endere alle passwörter
jetzt haben wir, bzw du folgendes problem.
solch ein trojaner kann weit reichende enderungen am system vor nehmen.
deswegen ist eine bereinigung nicht sicher. da wir nicht ausschließen können, das wir etwas übersehen bzw sich etwas gut versteckt.
du solltest daher um ein sicheres system zu erhalten folgendes tun:
- die daten, die sich auf der partition befinden wo windows läuft sichern, dazu gehören persönliche daten wie bilder dokumente musik und instalationsdateien.
nichts, was du evtl. aus dubiosen quellen hast wie filesharing (torrent) zt. keine keygens etc.
danach ist das formatieren des rechners angesagt und neu aufsetzen.
danach sollten wir, falls du interesse hast, dein system richtig absichern.
ein antiviren programm ist in der heutigen zeit und bei der menge an malware und gefahren im internet nicht genug, es müssen noch mehr maßnamen getroffen werden, heißt, dein antivirus ist nur ein baustein in einem gesammten sicherheitskonzept.

burningwreck · 06.05.2011, 14:34

Ach du Scheiße! Das klingt ja gar nicht gut... Ich habe 3 Partitionen, auf denen jeweils ein anderes Windows läuft (XP, Vista, 7). Wenn ich die persönlichen Dateien gesichert habe und die komplette Vista-Partition (die infizierte) lösche, kann ich dann mit meiner Win 7 weiterarbeiten?

markusg · 06.05.2011, 15:32

ja, denke schon, trotzdem sollten wir uns um ein sicheres system kümmern befor das noch mal passiert.

burningwreck · 06.05.2011, 15:43

Auf jeden Fall. Bin Dir echt dankbar und werde mich wieder melden, wenn ich auf alles auf win 7 neu installiert habe, was ich so brauche. Dauert wohl nicht länger als ein paar Stunden, hoffe ich. Bis später also...

markusg · 06.05.2011, 16:15

bis später, und überhaupt kein problem.

burningwreck · 07.05.2011, 18:15

Moin Markus, ich denke, dass ich Dank Deiner Hilfe nun das Gröbste überstanden habe. Auf der neu eingerichteten Win7-Partition ist nichts zu finden, so dass ich mit an Sicherheit grenzender Wahrscheinlichkeit sagen aknn, dass meine Kiste wieder sauber ist. Nun möchte ich gern auf Dein Angebot zugrückkommen und meinen Rechner gegen eine mögliche Neuinfizierung absichern. Was sagt also das Kompetenzteam dazu? ;-) Was muss ich tun?

Liebe Grüße, Alex

markusg · 08.05.2011, 10:30

kurze frage noch, nutzt du dort ebenfalls eset oder wird ein anderes av zum einsatz kommen?
ich persönlich hab nichts gegen eset einzuwenden, ist nur ne frage damit ich weis ob ein av in meiner anleitung notwendig ist.

burningwreck · 08.05.2011, 19:57

Zitat:

Zitat von markusg

kurze frage noch, nutzt du dort ebenfalls eset oder wird ein anderes av zum einsatz kommen?
ich persönlich hab nichts gegen eset einzuwenden, ist nur ne frage damit ich weis ob ein av in meiner anleitung notwendig ist.

Eset ist weiterhin drauf ;-)

markusg · 08.05.2011, 20:31

av
http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für xp /windows 7abarbeiten.
anstelle des ie8 instaliere ie9
Internet Explorer - Microsoft Windows
zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten.
anmerkungen meiner seits:

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- antivirus:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.

burningwreck · 08.05.2011, 22:06

Auch wenn ich mit Opera einigermaßen vertraut bin, so bin ich seit Jahren eigentlich großer Fan von Firefox. Hast du dafür ne fertige Anleitung? Ich möchte Dir nicht zu viel Arbeit aufhalsen...

markusg · 09.05.2011, 10:22

nein das macht mir nicht mehr arbeit.
instaliere für den firefox die adons noscript und adblock+ sie sind in meiner original anleitung.
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

danach Sandboxie anleitung für den ff:
Download:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.

burningwreck · 09.05.2011, 10:42

Großes Kino... Also auf in den Krieg... Wenn ich mit allem fertig bin, dann melde ich mich wieder. Bei der Hülle und Füller der Anleitungen kann das aber sicher nen tag dauern ;-)

06.05.2011, 10:49	#2
markusg /// Malware-holic	$kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe - Standard$ kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe hallo, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc? __________________ __________________

06.05.2011, 15:32	#6
markusg /// Malware-holic	$kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe - Standard$ kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe ja, denke schon, trotzdem sollten wir uns um ein sicheres system kümmern befor das noch mal passiert. __________________ --> kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe

kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe

Log-Analyse und Auswertung: kryptik.NIT-Trojaner in C:\Users\Alexander\AppData\Roaming\Yvap\ulnoa.exe