Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FAcebook Virus (Enhanced Protection Mode)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.07.2011, 19:47   #1
WasserBüffel
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Hallo,


Meine Schwester hat sich den Facebook Virus eingefangen. Avast meldet einen "enhanced Protection Mode" der offensichtlich nicht echt ist. Wie in diesem Thread (http://www.trojaner-board.de/101219-...ans-killt.html) kann ich keinen einzigen Scan ausführen. Daher lade ich mir gerade auf meinen rechern die OTLPENet.exe runter um diese zu brennen. (Den Log poste ich sobald er fertig ist)

Allerdings frage ich mich ob sich das überhaupt lohnt, oder ob ich das System nicht gleich neu aufsetze soll.

Besteht die Gefahr das der Schädling sich im Netzwerk verbreitet?

lg
Bueffel

Alt 30.07.2011, 22:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Zitat:
Allerdings frage ich mich ob sich das überhaupt lohnt, oder ob ich das System nicht gleich neu aufsetze soll.
Wenn du sichergehen willst, ist das eine vernünftige Lösung.

Zitat:
Besteht die Gefahr das der Schädling sich im Netzwerk verbreitet?
Möglich ist es schon, zumindest mit Malwarebytes etc. sollte man die anderen Rechner dann prüfen. Mach für jeden Rechner aber einen separaten Strang auf falls du diese Logs davopn posten willst.
__________________

__________________

Alt 31.07.2011, 18:17   #3
WasserBüffel
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Hier der Log vom Scan:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 7/31/2011 7:05:55 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,023.00 Mb Total Physical Memory | 838.00 Mb Available Physical Memory | 82.00% Memory free
907.00 Mb Paging File | 852.00 Mb Available in Paging File | 94.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465.75 Gb Total Space | 351.27 Gb Free Space | 75.42% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/07/27 10:22:25 | 000,502,272 | ---- | M] () [Auto] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011/07/25 19:52:51 | 000,352,768 | ---- | M] () [Auto] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011/07/25 17:35:49 | 000,261,632 | ---- | M] () [Auto] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011/07/25 17:19:32 | 001,187,840 | -H-- | M] () [Auto] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
SRV - [2011/07/06 13:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/06/29 14:09:56 | 003,435,096 | ---- | M] () [Auto] -- C:\Programme\Gemeinsame Dateien\Akamai\netsession_win_e477fed.dll -- (Akamai)
SRV - [2010/09/28 11:55:45 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010/02/19 07:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2009/08/27 12:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008/08/07 06:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Adapter | On_Demand] --  -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand] --  -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand] --  -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/06 13:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) [Kernel | Disabled] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011/07/06 13:52:42 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2008/04/13 18:10:48 | 000,062,976 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom)
DRV - [2007/03/08 08:34:46 | 004,027,840 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2005/09/30 00:52:22 | 000,013,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2005/09/30 00:52:20 | 000,034,048 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005/08/18 04:52:06 | 000,093,568 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvatabus.sys -- (nvatabus)
DRV - [2001/08/17 06:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\Besitzer_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
 
IE - HKU\WasserBueffel_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\WasserBueffel_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\WasserBueffel_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\WasserBueffel_ON_C\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
IE - HKU\WasserBueffel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2011/07/27 10:22:54 | 000,203,160 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 vkontakte.ru
O1 - Hosts: 127.0.0.1 www.vkontakte.ru
O1 - Hosts: 127.0.0.1 login.vk.com
O1 - Hosts: 127.0.0.1 vk.com
O1 - Hosts: 127.0.0.1 www.vk.com
O1 - Hosts: 127.0.0.1 odnoklassniki.ru
O1 - Hosts: 127.0.0.1 www.odnoklassniki.ru
O1 - Hosts: 127.0.0.1 facebook.com
O1 - Hosts: 127.0.0.1 www.facebook.com
O1 - Hosts: 127.0.0.1 af-za.facebook.com
O1 - Hosts: 127.0.0.1 az-az.facebook.com
O1 - Hosts: 127.0.0.1 id-id.facebook.com
O1 - Hosts: 127.0.0.1 ms-my.facebook.com
O1 - Hosts: 127.0.0.1 bs-ba.facebook.com
O1 - Hosts: 127.0.0.1 ca-es.facebook.com
O1 - Hosts: 127.0.0.1 cs-cz.facebook.com
O1 - Hosts: 127.0.0.1 cy-gb.facebook.com
O1 - Hosts: 127.0.0.1 da-dk.facebook.com
O1 - Hosts: 127.0.0.1 de-de.facebook.com
O1 - Hosts: 127.0.0.1 et-ee.facebook.com
O1 - Hosts: 127.0.0.1 en-gb.facebook.com
O1 - Hosts: 127.0.0.1 es-la.facebook.com
O1 - Hosts: 127.0.0.1 eo-eo.facebook.com
O1 - Hosts: 127.0.0.1 eu-es.facebook.com
O1 - Hosts: 50060 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O3 - HKU\WasserBueffel_ON_C\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKU\WasserBueffel_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [2219942.exe] C:\WINDOWS\TEMP\2219942.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\WasserBueffel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O31 - SafeBoot: AlternateShell - services32.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/08/02 08:38:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/07/27 10:22:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\Malwarebytes
[2011/07/27 10:22:31 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011/07/27 10:22:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011/07/27 10:22:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011/07/27 10:22:28 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011/07/27 10:22:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011/07/27 05:13:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\Mozilla
[2011/07/26 07:03:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Temp
[2011/07/26 07:03:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011/07/26 07:00:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
[2011/07/25 19:54:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011/07/25 19:54:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011/07/25 19:54:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011/07/25 18:44:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe
[2011/07/25 18:43:45 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik
[2011/07/25 18:43:45 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder
[2011/07/25 18:43:38 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien
[2011/07/25 18:43:24 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
[2011/07/25 18:43:24 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Besitzer\Cookies
[2011/07/25 18:43:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Besitzer\SendTo
[2011/07/25 18:43:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Recent
[2011/07/25 18:43:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten
[2011/07/25 18:43:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Zubehör
[2011/07/25 18:43:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Startmenü
[2011/07/25 18:43:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Favoriten
[2011/07/25 18:43:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart
[2011/07/25 18:43:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Vorlagen
[2011/07/25 18:43:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Netzwerkumgebung
[2011/07/25 18:43:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen
[2011/07/25 18:43:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Druckumgebung
[2011/07/25 18:43:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2011/07/25 18:43:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia
[2011/07/25 18:43:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop
[2011/07/25 17:41:48 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011/07/25 17:39:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011/07/25 17:38:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\WinRAR
[2011/07/25 17:35:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011/07/25 17:33:47 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011/07/25 17:33:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011/07/25 17:33:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011/07/25 17:22:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Startmenü
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/07/27 10:22:54 | 000,203,160 | -H-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011/07/27 10:22:54 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011/07/27 10:22:31 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/07/27 10:22:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011/07/27 10:22:26 | 000,000,179 | ---- | M] () -- C:\WINDOWS\info1
[2011/07/27 10:21:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/07/26 06:56:23 | 000,000,215 | ---- | M] () -- C:\boot.ini
[2011/07/26 06:29:05 | 000,001,708 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2011/07/26 06:29:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\avast! Free Antivirus
[2011/07/25 20:00:00 | 000,000,362 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-USER-WasserBueffel.job
[2011/07/25 19:54:27 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011/07/25 19:54:27 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011/07/25 19:54:27 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011/07/25 19:54:26 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011/07/25 18:43:49 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2011/07/25 18:43:45 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2011/07/25 18:21:51 | 000,002,299 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2011/07/25 17:44:11 | 000,118,784 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011/07/25 17:40:35 | 000,235,520 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011/07/25 17:38:18 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011/07/25 17:37:15 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011/07/25 17:35:49 | 000,261,632 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011/07/25 17:35:49 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011/07/25 17:19:32 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe
[2011/07/24 15:52:56 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/19 07:36:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011/07/17 08:25:18 | 003,515,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/07/17 07:10:31 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011/07/16 21:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
[2011/07/12 12:43:41 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2011/07/06 13:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011/07/06 13:52:42 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011/07/04 07:43:53 | 000,040,112 | ---- | M] (AVAST Software) -- C:\WINDOWS\avastSS.scr
[2011/07/04 07:43:51 | 000,199,304 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2011/07/04 07:36:43 | 000,441,176 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSnx.sys
[2011/07/04 07:36:32 | 000,309,848 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2011/07/04 07:35:23 | 000,043,608 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2011/07/04 07:35:12 | 000,102,616 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2011/07/04 07:35:09 | 000,096,344 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2011/07/04 07:32:32 | 000,025,432 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2011/07/04 07:32:13 | 000,030,808 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[2011/07/04 07:32:12 | 000,019,544 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/07/27 10:22:31 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/07/25 19:54:27 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011/07/25 19:54:27 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011/07/25 19:54:26 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011/07/25 18:43:49 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2011/07/25 18:43:49 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Internet Explorer.lnk
[2011/07/25 18:43:45 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2011/07/25 18:43:43 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Outlook Express.lnk
[2011/07/25 18:43:24 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Remoteunterstützung.lnk
[2011/07/25 18:43:24 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Windows Media Player.lnk
[2011/07/25 17:44:19 | 000,118,784 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011/07/25 17:40:39 | 000,235,520 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011/07/25 17:38:19 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011/07/25 17:38:18 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011/07/25 17:38:18 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011/07/25 17:37:00 | 000,000,179 | ---- | C] () -- C:\WINDOWS\info1
[2011/07/25 17:36:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011/07/25 17:36:16 | 000,256,000 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011/07/25 17:36:02 | 000,261,632 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011/07/25 17:22:52 | 001,185,280 | ---- | C] () -- C:\WINDOWS\services32.exe
[2011/06/06 20:28:41 | 000,162,504 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/06/04 09:10:42 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2010/12/23 15:40:13 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010/09/23 12:29:37 | 000,030,208 | ---- | C] () -- C:\Dokumente und Einstellungen\WasserBueffel\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/08/14 10:30:45 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2010/08/02 18:58:56 | 000,217,180 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/08/02 18:58:54 | 000,217,180 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/08/02 18:58:54 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/08/02 18:58:25 | 002,186,342 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2010/08/02 18:57:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010/08/02 18:57:04 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010/08/02 18:57:01 | 000,000,164 | R--- | C] () -- C:\WINDOWS\avrack.ini
[2010/08/02 09:29:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/08/02 09:26:15 | 003,515,096 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/08/02 08:38:59 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/08/02 08:36:15 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/14 02:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/13 18:10:48 | 000,062,976 | ---- | C] () -- C:\WINDOWS\System32\drivers\cdrom.sys
[2007/04/27 05:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2006/12/31 01:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,445,468 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,429,846 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,078,512 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,066,042 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2010/11/03 17:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\EPSON
[2010/08/02 20:48:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\Foxit Software
[2011/06/04 18:45:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\Gunther Wegner
[2011/06/07 11:09:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\MAGIX
[2010/08/02 20:52:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\OpenOffice.org
[2011/06/08 10:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WasserBueffel\Anwendungsdaten\PriceGong
[2010/08/03 07:20:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011/06/06 11:57:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2011/07/18 14:42:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2011/02/25 07:58:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rosetta Stone
[2011/07/19 07:36:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---
__________________

Alt 01.08.2011, 09:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Was ist mit Malwarebytes?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.08.2011, 12:55   #5
WasserBüffel
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Ist auf der Reatogo-x-Pe-CD Malwarebytes drauf? Hab ich gar nicht gesehen.
Dank Malwarebytes konnte ich Avast wieder neuinstallieren (Scanen ging trotzdem nicht) aber iwie hat sich der Rechner neugestartet und fährt seit dem nur noch im Abgesicherten Modus hoch. Da wir den Rechner bald benötigen werde ich den direkt neuaufsetzen, das ist gründlicher.
Kann ich die Logs nachdem aufspielen der alten Daten hier posten um sicherzugehen, dass ich die VIrus mitgeschleppt hab?


Alt 01.08.2011, 13:26   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Zitat:
Ist auf der Reatogo-x-Pe-CD Malwarebytes drauf? Hab ich gar nicht gesehen.
Du sollst Malwarebytes ja auch auf dem installierten Windows nutzen...
Was denn jetzt? Lies Malwarebytes nun oder nicht? Wenn ja, ALLE Logs davon posten.
__________________
--> FAcebook Virus (Enhanced Protection Mode)

Alt 01.08.2011, 13:53   #7
WasserBüffel
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Nein es lief nicht. Auch kein anderer Scanner. Sobald ein Scan gestartet wurde, stürzte das Programm ab und lies sich fortan nicht mehr starten.

Alt 01.08.2011, 14:09   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FAcebook Virus (Enhanced Protection Mode) - Standard

FAcebook Virus (Enhanced Protection Mode)



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/07/27 10:22:25 | 000,502,272 | ---- | M] () [Auto] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011/07/25 19:52:51 | 000,352,768 | ---- | M] () [Auto] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011/07/25 17:35:49 | 000,261,632 | ---- | M] () [Auto] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011/07/25 17:19:32 | 001,187,840 | -H-- | M] () [Auto] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O3 - HKU\WasserBueffel_ON_C\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKU\WasserBueffel_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [2219942.exe] C:\WINDOWS\TEMP\2219942.exe ()
O31 - SafeBoot: AlternateShell - services32.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/08/02 08:38:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011/07/27 10:22:54 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011/07/25 19:54:27 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011/07/25 19:54:27 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011/07/25 19:54:27 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011/07/25 19:54:26 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011/07/25 17:44:11 | 000,118,784 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011/07/25 17:40:35 | 000,235,520 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
[2011/07/25 17:38:18 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011/07/25 17:37:15 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011/07/25 17:35:49 | 000,261,632 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
[2011/07/25 17:35:49 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
[2011/07/25 17:19:32 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe
:Files
C:\WINDOWS\update.1
C:\WINDOWS\update.2
C:\WINDOWS\update.5.0
C:\WINDOWS\sysdriver32.exe
C:\Programme\softonic-de3
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken
4.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu FAcebook Virus (Enhanced Protection Mode)
avast, einzige, einzigen, enhanced, facebook, facebook virus, fertig, frage, gefahr, log, lohnt, melde, meldet, netzwerk, neu, poste, protection, runter, schädling, sobald, system, thread, verbreitet, virus, überhaupt



Ähnliche Themen: FAcebook Virus (Enhanced Protection Mode)


  1. Enhanced Mitigation Experience Toolkit (EMET) zu empfehlen?
    Antiviren-, Firewall- und andere Schutzprogramme - 06.10.2015 (9)
  2. Enhanced-Search.com (Enhanced Search) entfernen
    Anleitungen, FAQs & Links - 27.04.2014 (2)
  3. EWF (enhanced write filter) als Schutz des PCs vor Veränderungen
    Diskussionsforum - 03.07.2013 (5)
  4. NVidia Kernel Mode Driver wurde nach einem Fehler wiederhergestellt...Virus?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (12)
  5. System progressive protection virus
    Log-Analyse und Auswertung - 13.01.2013 (7)
  6. System Progressive Protection (Virus) infizierter PC
    Plagegeister aller Art und deren Bekämpfung - 17.12.2012 (1)
  7. System Progressive Protection (Virus/Wurm)
    Plagegeister aller Art und deren Bekämpfung - 16.12.2012 (29)
  8. System Progressive Protection Virus
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (45)
  9. Best Virus Protection entfernen
    Anleitungen, FAQs & Links - 06.03.2012 (2)
  10. Enhanced Mitigation Experience Toolkit
    Antiviren-, Firewall- und andere Schutzprogramme - 24.01.2012 (4)
  11. Privacy Protection Virus
    Plagegeister aller Art und deren Bekämpfung - 16.11.2011 (65)
  12. Malware Protection Virus - Alles sauber?
    Log-Analyse und Auswertung - 25.08.2011 (15)
  13. Facemood & Enhanced Search ENTFERNEN
    Mülltonne - 16.05.2011 (2)
  14. Zuerst Facebook-Virus-Neu aufgesetzt,cpu Auslastung 100%,bei Facebook-Games extrem lahm!
    Log-Analyse und Auswertung - 03.02.2011 (11)
  15. Skype - Facebook Virus foto :P h**p://facebook.twitterbizzer.com/member_profile.php
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (6)
  16. Virus Pricacy Protection
    Log-Analyse und Auswertung - 19.11.2007 (2)
  17. enhanced MediaLoads
    Plagegeister aller Art und deren Bekämpfung - 17.01.2005 (1)

Zum Thema FAcebook Virus (Enhanced Protection Mode) - Hallo, Meine Schwester hat sich den Facebook Virus eingefangen. Avast meldet einen "enhanced Protection Mode" der offensichtlich nicht echt ist. Wie in diesem Thread ( http://www.trojaner-board.de/101219-...ans-killt.html ) kann ich keinen - FAcebook Virus (Enhanced Protection Mode)...
Archiv
Du betrachtest: FAcebook Virus (Enhanced Protection Mode) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.