Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.08.2011, 03:26   #1
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Rotes Gesicht

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo liebe Helfer,

vor ein paar Tagen hatte ich den BKA-Trojaner auf meinem Rechner (Win 7, 32 bit). Obwohl ich überhaupt keine Ahnung von Computern habe, habe ich eine Nacht lang herumgetüfftelt.

1. Die Kaspersky-CD rescue disc 10 fand zunächst nicht.

2. Dann habe ich über meinen Administrater (Supermann) (der sich noch normal öffnen ließ, befallen war nur mein Benutzerkonto ohne Administratorenrechte) Malwarebytes laufen lassen.
Das Programm fand etwas (unter AppData), das ich gelöscht habe. Danach funktionierte scheinbar alles wieder und ich war als Computer-Unerfahrene erst einmal glücklich.

Wie ich jetzt gelesen habe, wäre das Ergebnis des Scans zur Eröterung des Trojaner-Befalls wichtig gewesen. Sorry, das wußte ich nicht! Ich hoffe, ich kann trotzdem auf Eure Hilfe hoffen!

Inzwischen habe ich verstanden, dass das Löschen dieser BKA-Ansicht das Problem noch nicht in Gänze beheben muss.

Nachdem ich das BKA-Bild los war, habe ich alle meine Passwörter geändert. Dennoch meldet sich auf meinem Facebookaccount ein anderen Computer an (so die Kontoaktivität bei Facebook). Mir ist das Ganze recht unheimlich.

Über kurz oder lang: Ich will meinen Rechner wieder sauber haben. (Deswegen freue ich mich auch über Tips für das beste Virenschutzprogramm, damit ab nun alles besser wird!)

--------------------------------------------------------------
Heute Abend habe ich zunächst noch einmal malewarebytes laufen lassen.
Mit folgendem Ergebnis:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7435

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.08.2011 02:33:13
mbam-log-2011-08-12 (02-32-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 313252
Laufzeit: 1 Stunde(n), 8 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\xxx\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\9Q7NNWEZ\readme[1].exe (Spyware.Passwords.XGen) -> No action taken.

-----------------------------------------------------------

Kurz danach piepte mein (kostenfreies) Avira-Virenschutzprogramm:

Avira: In der Datei 'C:\Useres\xxx\AppData\LocalLow\...\5ab40f57-6cdc7162' wurde ein Virus oder ein unerwünschtes Programm 'EXP2\2010-4452.AC.2' gefunden.

------------------------------------------------------------------------

Dann habe ich Eure Anleitung für Hilfesuchende entdeckt und defogger laufen lassen:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 02:39 on 12/08/2011 (Supermann)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

-----------------------------------------------------------------------

Dann kam OTL an die Reihe:

OTL.txt:
OTL logfile created on: 8/12/2011 3:14:19 AM - Run 6
OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\Supermann\Desktop
Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.96 Gb Total Physical Memory | 1.19 Gb Available Physical Memory | 60.73% Memory free
3.92 Gb Paging File | 2.88 Gb Available in Paging File | 73.50% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 230.88 Gb Total Space | 180.96 Gb Free Space | 78.38% Space Free | Partition Type: NTFS

Computer Name: Antigone | User Name: Supermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Users\Supermann\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
PRC - C:\Windows\System32\HPSIsvc.exe (HP)
PRC - C:\Program Files\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Program Files\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Program Files\CyberLink\YouCam\YouCamTray.exe (CyberLink Corp.)
PRC - C:\Program Files\Lexmark 2500 Series\lxddamon.exe ()
PRC - C:\Program Files\Lexmark 2500 Series\lxddmon.exe ()
PRC - C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Technology Solutions)
PRC - C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
PRC - C:\Windows\System32\lxddcoms.exe ( )
PRC - C:\Program Files\Launch Manager\WisLMSvc.exe (Wistron Corp.)


========== Modules (SafeList) ==========

MOD - C:\Users\Supermann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (MBAMService) -- C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Fabs) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (HPSIService) -- C:\Windows\System32\HPSIsvc.exe (HP)
SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (TestHandler) -- C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Technology Solutions)
SRV - (FirebirdServerMAGIXInstance) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
SRV - (lxddCATSCustConnectService) -- C:\Windows\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe ()
SRV - (lxdd_device) -- C:\Windows\System32\lxddcoms.exe ( )
SRV - (WisLMSvc) -- C:\Program Files\Launch Manager\WisLMSvc.exe (Wistron Corp.)


========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (mvusbews) -- C:\Windows\System32\drivers\mvusbews.sys (Marvell Semiconductor, Inc.)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (TPM) -- C:\Windows\System32\drivers\tpm.sys (Microsoft Corporation)
DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Hotkey) -- C:\Windows\System32\drivers\HOTKEY.sys ()


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=FTSA&bmod=EU01
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.ts.fujitsu.com/index2 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ecosia.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\support@predictad.com: C:\Program Files\AutocompletePro\support@predictad.com [2011/07/15 15:30:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/05/12 15:46:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010/05/14 22:14:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010/08/23 12:54:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2010/11/20 00:05:54 | 000,000,000 | ---D | M]

[2011/08/03 23:11:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Supermann\AppData\Roaming\mozilla\Extensions
[2011/08/03 23:11:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Supermann\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010/05/12 15:46:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Supermann\AppData\Roaming\mozilla\Firefox\Profiles\0eb0fghg.default\extensions
[2010/10/13 12:59:53 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/07/15 15:30:26 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\PROGRAM FILES\AUTOCOMPLETEPRO\SUPPORT@PREDICTAD.COM
[2010/04/01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/04/01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010/04/01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/04/01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/04/01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009/06/10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol] File not found
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LaunchAp] File not found
O4 - HKLM..\Run: [lxddamon] C:\Program Files\Lexmark 2500 Series\lxddamon.exe ()
O4 - HKLM..\Run: [lxddmon.exe] C:\Program Files\Lexmark 2500 Series\lxddmon.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [Wbutton] File not found
O4 - HKLM..\Run: [YouCam Mirror Tray icon] C:\Program Files\CyberLink\YouCam\YouCamTray.exe (CyberLink Corp.)
O4 - Startup: C:\Users\Supermann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\lbxfile {56831180-F115-11d2-B6AA-00104B2B9943} - C:\Program Files\Libronix DLS\System\FileProt.dll (Libronix Corporation)
O18 - Protocol\Handler\lbxres {24508F1B-9E94-40EE-9759-9AF5795ADF52} - C:\Program Files\Libronix DLS\System\ResProt.dll (Libronix Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011/08/12 01:29:03 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Supermann\Desktop\OTL.exe
[2011/08/11 13:43:17 | 003,957,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2011/08/11 13:43:16 | 003,902,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2011/08/11 13:42:59 | 000,599,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2011/08/11 13:42:58 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2011/08/11 13:42:58 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2011/08/11 13:42:58 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec
[2011/08/11 13:42:58 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2011/08/11 13:42:58 | 000,185,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2011/08/11 13:42:58 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2011/08/11 13:42:58 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2011/08/11 13:42:58 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2011/08/11 13:42:58 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2011/08/11 13:42:58 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll
[2011/08/11 13:42:58 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[2011/08/11 13:42:48 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2011/08/11 13:42:48 | 000,169,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011/08/11 13:42:47 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2011/08/11 13:42:47 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2011/08/11 13:42:47 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2011/08/11 13:42:47 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2011/08/11 13:42:44 | 000,319,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbcjt32.dll
[2011/08/11 13:42:44 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbctrac.dll
[2011/08/11 13:42:44 | 000,122,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccp32.dll
[2011/08/11 13:42:44 | 000,086,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccu32.dll
[2011/08/11 13:42:44 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccr32.dll
[2011/08/03 23:51:34 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Roaming\Malwarebytes
[2011/08/03 23:51:26 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011/08/03 23:51:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/08/03 23:51:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011/08/03 23:51:20 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011/08/03 23:51:20 | 000,000,000 | ---D | C] -- C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware
[2011/08/03 23:11:34 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Roaming\Thunderbird
[2011/08/03 23:11:34 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Local\Thunderbird
[2011/08/03 14:09:54 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Roaming\Avira
[2011/07/23 12:22:05 | 000,000,000 | ---D | C] -- C:\ProgramData\CyberLink
[2011/07/15 16:05:37 | 000,000,000 | ---D | C] -- C:\Users\Supermann\Documents\MAGIX_MusicEditor
[2011/07/15 16:04:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAGIX
[2011/07/15 16:04:40 | 000,000,000 | ---D | C] -- C:\Program Files\MAGIX
[2011/07/15 16:04:31 | 000,000,000 | ---D | C] -- C:\ProgramData\MAGIX
[2011/07/15 16:04:29 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MAGIX Services
[2011/07/15 15:30:47 | 000,000,000 | ---D | C] -- C:\temp
[2011/07/15 15:30:31 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Roaming\Music Editor Free
[2011/07/15 15:20:12 | 000,000,000 | ---D | C] -- C:\Program Files\AutocompletePro
[2011/07/15 15:20:11 | 000,000,000 | ---D | C] -- C:\Users\Supermann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Music Editor Free
[2011/07/15 15:20:05 | 001,986,560 | ---- | C] (NCT Company Ltd.) -- C:\Windows\System32\NCTAudioFile2.dll
[2011/07/15 15:20:05 | 001,212,416 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioInformation2.dll
[2011/07/15 15:20:05 | 000,602,112 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioTransform2.dll
[2011/07/15 15:20:05 | 000,479,232 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioVisualization2.dll
[2011/07/15 15:20:05 | 000,458,752 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioRecord2.dll
[2011/07/15 15:20:05 | 000,458,752 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioPlayer2.dll
[2011/07/15 15:20:05 | 000,417,792 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTTextToAudio2.dll
[2011/07/15 15:20:05 | 000,348,160 | ---- | C] (NCT Company Ltd.) -- C:\Windows\System32\NCTWMAFile2.dll
[2011/07/15 15:20:04 | 000,880,640 | ---- | C] (Online Media Technologies Ltd.) -- C:\Windows\System32\NCTAudioEditor2.dll
[2011/07/15 15:20:04 | 000,835,584 | ---- | C] (NCT) -- C:\Windows\System32\NCTAudioCDGrabber2.dll
[2011/07/15 15:20:04 | 000,344,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msvcr70.dll
[2011/07/15 15:20:03 | 000,000,000 | ---D | C] -- C:\Program Files\Music Editor Free
[2011/07/13 17:16:27 | 002,332,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2010/08/25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
[2010/05/13 17:10:40 | 000,413,696 | ---- | C] ( ) -- C:\Windows\System32\lxddinpa.dll
[2010/05/13 17:10:40 | 000,323,584 | ---- | C] ( ) -- C:\Windows\System32\LXDDhcp.dll
[2010/05/13 17:10:39 | 001,232,896 | ---- | C] ( ) -- C:\Windows\System32\lxddserv.dll
[2010/05/13 17:10:39 | 000,999,424 | ---- | C] ( ) -- C:\Windows\System32\lxddusb1.dll
[2010/05/13 17:10:39 | 000,643,072 | ---- | C] ( ) -- C:\Windows\System32\lxddpmui.dll
[2010/05/13 17:10:39 | 000,397,312 | ---- | C] ( ) -- C:\Windows\System32\lxddiesc.dll
[2010/05/13 17:10:39 | 000,163,840 | ---- | C] ( ) -- C:\Windows\System32\lxddprox.dll
[2010/05/13 17:10:39 | 000,094,208 | ---- | C] ( ) -- C:\Windows\System32\lxddpplc.dll
[2010/05/13 17:10:38 | 000,700,416 | ---- | C] ( ) -- C:\Windows\System32\lxddhbn3.dll
[2010/05/13 17:10:38 | 000,585,728 | ---- | C] ( ) -- C:\Windows\System32\lxddlmpm.dll
[2010/05/13 17:10:38 | 000,537,520 | ---- | C] ( ) -- C:\Windows\System32\lxddcoms.exe
[2010/05/13 17:10:38 | 000,385,968 | ---- | C] ( ) -- C:\Windows\System32\lxddih.exe
[2010/05/13 17:10:37 | 000,684,032 | ---- | C] ( ) -- C:\Windows\System32\lxddcomc.dll
[2010/05/13 17:10:37 | 000,425,984 | ---- | C] ( ) -- C:\Windows\System32\lxddcomm.dll
[2010/05/13 17:10:37 | 000,394,160 | ---- | C] ( ) -- C:\Windows\System32\lxddcfg.exe
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011/08/12 03:07:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011/08/12 03:07:50 | 1579,851,776 | -HS- | M] () -- C:\hiberfil.sys
[2011/08/12 02:53:51 | 000,302,592 | ---- | M] () -- C:\Users\Supermann\Desktop\e8695vod.exe
[2011/08/12 02:45:18 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/08/12 02:45:18 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/08/12 02:38:59 | 000,000,000 | ---- | M] () -- C:\Users\Supermann\defogger_reenable
[2011/08/12 02:18:35 | 000,018,518 | ---- | M] () -- C:\Users\Supermann\Desktop\Trojaner.odt
[2011/08/12 01:57:39 | 000,050,477 | ---- | M] () -- C:\Users\Supermann\Desktop\Defogger.exe
[2011/08/12 01:29:14 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Supermann\Desktop\OTL.exe
[2011/08/03 23:51:26 | 000,000,771 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/08/03 17:06:57 | 000,643,866 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011/08/03 17:06:57 | 000,607,190 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011/08/03 17:06:57 | 000,126,394 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011/08/03 17:06:57 | 000,103,568 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011/08/03 15:01:04 | 213,340,160 | ---- | M] () -- C:\Users\Supermann\Desktop\kav_rescue_10.iso
[2011/07/26 11:38:21 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2011/07/26 11:38:21 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2011/07/22 06:56:17 | 001,638,912 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2011/07/16 06:37:32 | 000,169,984 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011/07/16 06:31:12 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2011/07/16 06:19:58 | 000,005,120 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,608 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,096 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,096 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,096 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,096 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2011/07/16 06:19:58 | 000,004,096 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2011/07/16 06:19:58 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2011/07/16 04:21:47 | 000,006,144 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2011/07/16 04:21:47 | 000,004,608 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2011/07/16 04:21:47 | 000,003,584 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2011/07/16 04:21:47 | 000,003,072 | -H-- | M] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2011/07/15 16:05:27 | 000,000,951 | ---- | M] () -- C:\Users\Public\Desktop\MAGIX MP3 deluxe 17 Download-Version.lnk
[2011/07/15 15:30:26 | 000,001,833 | ---- | M] () -- C:\Users\Supermann\Desktop\Music Editor Free.lnk
[2011/07/14 03:04:49 | 000,499,216 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011/08/12 02:53:41 | 000,302,592 | ---- | C] () -- C:\Users\Supermann\Desktop\e8695vod.exe
[2011/08/12 02:38:59 | 000,000,000 | ---- | C] () -- C:\Users\Supermann\defogger_reenable
[2011/08/12 01:57:26 | 000,050,477 | ---- | C] () -- C:\Users\Supermann\Desktop\Defogger.exe
[2011/08/12 01:45:00 | 000,018,518 | ---- | C] () -- C:\Users\Supermann\Desktop\Trojaner.odt
[2011/08/03 23:51:26 | 000,000,771 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/08/03 15:00:44 | 213,340,160 | ---- | C] () -- C:\Users\Supermann\Desktop\kav_rescue_10.iso
[2011/07/15 16:05:27 | 000,000,951 | ---- | C] () -- C:\Users\Public\Desktop\MAGIX MP3 deluxe 17 Download-Version.lnk
[2011/07/15 15:20:11 | 000,001,833 | ---- | C] () -- C:\Users\Supermann\Desktop\Music Editor Free.lnk
[2011/01/24 23:52:20 | 001,511,424 | ---- | C] () -- C:\Windows\System32\HP1100SM.EXE
[2011/01/24 23:52:20 | 000,147,456 | ---- | C] () -- C:\Windows\System32\HP1100LM.DLL
[2011/01/24 23:52:02 | 000,284,160 | ---- | C] () -- C:\Windows\System32\mvhlewsi.dll
[2011/01/24 23:51:59 | 000,081,920 | ---- | C] () -- C:\Windows\System32\mvusbews.dll
[2011/01/24 23:51:58 | 000,054,272 | ---- | C] () -- C:\Windows\System32\HP1100SMs.dll
[2011/01/16 15:23:13 | 000,000,532 | ---- | C] () -- C:\Windows\eReg.dat
[2010/08/25 20:30:02 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2010/08/25 20:30:00 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2010/08/25 20:30:00 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2010/08/25 19:57:00 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2010/08/25 19:52:00 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2010/08/25 19:52:00 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2010/05/16 21:56:18 | 000,001,302 | ---- | C] () -- C:\ProgramData\ss.ini
[2010/05/16 21:38:39 | 000,027,648 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll
[2010/05/15 23:54:40 | 000,000,153 | ---- | C] () -- C:\ProgramData\lxdd
[2010/05/13 17:10:40 | 000,286,720 | ---- | C] () -- C:\Windows\System32\LXDDinst.dll
[2010/05/13 17:10:38 | 000,208,896 | ---- | C] () -- C:\Windows\System32\lxddgrd.dll
[2010/05/13 15:42:59 | 000,002,971 | R--- | C] () -- C:\Windows\System32\SETUP.INI
[2010/05/13 15:41:26 | 000,069,632 | R--- | C] () -- C:\Windows\System32\SendMail.exe
[2010/05/13 15:41:26 | 000,006,496 | R--- | C] () -- C:\Windows\System32\KPNDLG.INI
[2010/05/13 15:41:26 | 000,003,564 | R--- | C] () -- C:\Windows\System32\KPNMSG.INI
[2010/05/12 04:37:02 | 000,009,867 | ---- | C] () -- C:\Windows\System32\drivers\HOTKEY.sys
[2010/05/11 20:58:39 | 000,140,288 | ---- | C] () -- C:\Windows\System32\igfxtvcx.dll
[2009/12/15 09:28:51 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009/12/15 09:28:49 | 000,134,592 | ---- | C] () -- C:\Windows\System32\igfcg500.bin
[2009/11/17 13:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2009/08/07 15:53:57 | 000,643,866 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/08/07 15:53:57 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/08/07 15:53:57 | 000,126,394 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/08/07 15:53:57 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/07/30 13:49:22 | 000,040,448 | ---- | C] () -- C:\Windows\REGOBJ.DLL
[2009/07/14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009/07/14 06:33:53 | 000,499,216 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009/07/14 04:05:48 | 000,607,190 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009/07/14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009/07/14 04:05:48 | 000,103,568 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009/07/14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009/07/14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009/07/14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009/07/14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009/07/14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009/07/14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009/06/10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2009/04/01 11:48:16 | 000,053,478 | ---- | C] () -- C:\Windows\mvtcpui.ini
[2007/04/27 09:43:58 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2007/03/28 14:16:44 | 000,344,064 | ---- | C] () -- C:\Windows\System32\lxddcoin.dll
[2007/01/23 19:40:04 | 000,065,536 | ---- | C] () -- C:\Windows\System32\lxddcaps.dll
[2007/01/09 17:13:08 | 000,692,224 | ---- | C] () -- C:\Windows\System32\lxdddrs.dll
[2006/10/06 17:08:04 | 000,069,632 | ---- | C] () -- C:\Windows\System32\lxddcnv4.dll
[2006/05/18 02:47:12 | 000,040,960 | ---- | C] () -- C:\Windows\System32\lxddvs.dll

========== LOP Check ==========

[2010/05/16 00:09:50 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\FreeAudioPack
[2010/05/13 17:43:40 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\Lexmark Productivity Studio
[2010/05/14 22:16:34 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\Libronix DLS
[2011/07/15 15:36:35 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\Music Editor Free
[2010/05/12 16:43:41 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\OpenOffice.org
[2011/08/03 23:11:35 | 000,000,000 | ---D | M] -- C:\Users\Supermann\AppData\Roaming\Thunderbird
[2011/07/27 17:38:30 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



< End of report >

---------------------------------------------------------------------

Dies ist die Extra.txt-Datei:

OTL Extras logfile created on: 8/12/2011 3:14:19 AM - Run 6
OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\Supermann\Desktop
Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.96 Gb Total Physical Memory | 1.19 Gb Available Physical Memory | 60.73% Memory free
3.92 Gb Paging File | 2.88 Gb Available in Paging File | 73.50% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 230.88 Gb Total Space | 180.96 Gb Free Space | 78.38% Space Free | Partition Type: NTFS

Computer Name: ANTIGONE | User Name: Supermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{19991EAD-C273-47EB-87E8-0D274925230B}" = OEB Resource Driver
"{1A531111-4E6F-4CBB-9515-F0A5FD1026BA}" = MAGIX MP3 deluxe 17 Download-Version
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20400dbd-e6db-45b8-9b6b-1dd7033818ec}" = Nero InfoTool Help
"{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}" = Cisco Systems VPN Client 5.0.06.0160
"{2348b586-c9ae-46ce-936c-a68e9426e214}" = Nero StartSmart Help
"{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron Flash Media Controller Driver
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{318CACFE-FB02-472F-A328-32CABC07F3D8}" = Firebird SQL Server - MAGIX Edition
"{33cf58f5-48d8-4575-83d6-96f574e4d83a}" = Nero DriveSpeed
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4D43D635-6FDA-4fa5-AA9B-23CF73D058EA}" = Nero StartSmart OEM
"{501451DE-5808-4599-B544-8BD0915B6B24}_is1" = FreeRIP v3.2
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F81DD84-6A2F-11D4-903E-00E0293397B7}" = Bible Data Type System Files
"{5F81DD89-6A2F-11D4-903E-00E0293397B7}" = Common System Files
"{5F81DD92-6A2F-11D4-903E-00E0293397B7}" = Libronix Digital Library System
"{5F81DD97-6A2F-11D4-903E-00E0293397B7}" = Libronix DLS Application
"{5F81DD9B-6A2F-11D4-903E-00E0293397B7}" = LibronixUpdate
"{5F81DD9F-6A2F-11D4-903E-00E0293397B7}" = LLS Resource Driver
"{5F81DDA3-6A2F-11D4-903E-00E0293397B7}" = PDF Resource Driver
"{62ac81f6-bdd3-4110-9d36-3e9eaab40999}" = Nero CoverDesigner
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{72CB5335-6D2A-4207-B811-6CB6C6925039}" = Batch Update
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{7829db6f-a066-4e40-8912-cb07887c20bb}" = Nero BurnRights
"{7B15D70E-9449-4CFB-B9BC-798465B2BD5C}" = Norton Internet Security
"{7b38efde-74d9-4c87-8dfe-cedf031d9505}" = Nero 9 Essentials
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{869200db-287a-4dc0-b02b-2b6787fbcd4c}" = Nero DiscSpeed
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2007
"{90120000-0015-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2007
"{90120000-0016-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2007
"{90120000-0018-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2007
"{90120000-0019-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2007
"{90120000-001A-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2007
"{90120000-001B-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2007
"{90120000-001F-0C0A-0000-0000000FF1CE}_PROHYBRIDR_{187308AB-5FA7-4F14-9AB9-D290383A10D9}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office Language Pack 2007 Service Pack 2 (SP2)
"{90120000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2007
"{90120000-006E-0409-0000-0000000FF1CE}_PROHYBRIDR_{DE5A002D-8122-4278-A7EE-3121E7EA254E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2007
"{90120000-0115-0409-0000-0000000FF1CE}_PROHYBRIDR_{DE5A002D-8122-4278-A7EE-3121E7EA254E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2007
"{90120000-0117-0409-0000-0000000FF1CE}_PROHYBRIDR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{91D0B34A-022D-4376-9E78-CE2957851F22}" = Libronix DLS Shortcuts SESB
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.3 - Deutsch
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B59C4B01-0880-4D48-8110-F48C5D99B890}" = Stuttgart Electronic Study Bible
"{BD01B72F-DA62-49D2-9C5B-F3A91AD00C3C}" = MAGIX Screenshare
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{cc019e3f-59d2-4486-8d4b-878105b62a71}" = Nero DiscSpeed Help
"{ce96f5a5-584d-4f8f-aa3e-9baed413db72}" = Nero CoverDesigner Help
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.4.9
"{e5c7d048-f9b4-4219-b323-8bdb01a2563d}" = Nero DriveSpeed Help
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{EF59DB7F-7426-426E-B862-7031F83ED304}" = SystemDiagnostics
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{f4041dce-3fe1-4e18-8a9e-9de65231ee36}" = Nero ControlCenter
"{F524FC88-DDF5-4433-A57C-67C31F437D0D}" = MAGIX Speed burnR (MSI)
"{f6bdd7c5-89ed-4569-9318-469aa9732572}" = Nero BurnRights Help
"{fbcdfd61-7dcf-4e71-9226-873ba0053139}" = Nero InfoTool
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AutocompletePro2_is1" = AutocompletePro
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"DivX Setup.divx.com" = DivX-Setup
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HP LaserJet Professional P1100-P1560-P1600 Series" = HP LaserJet Professional P1100-P1560-P1600 Series
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"Lexmark 2500 Series" = Lexmark 2500 Series
"Libronix DLS" = Libronix Digital Library System
"MAGIX_MSI_mp3maker_17" = MAGIX MP3 deluxe 17 Download-Version
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (3.1.2)" = Mozilla Thunderbird (3.1.2)
"Music Editor Free" = Music Editor Free
"PROHYBRIDR" = 2007 Microsoft Office system
"SecureW2 EAP Suite" = SecureW2 EAP Suite 2.0.4 for Windows
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TVWiz" = Intel(R) TV Wizard

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 8/3/2011 10:21:19 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:21:19 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:22:28 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:22:28 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:23:34 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:23:34 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:27:09 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:27:09 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:28:13 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 8/3/2011 10:28:13 AM | Computer Name = Antigone | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

[ System Events ]
Error - 1/20/2011 8:23:57 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
lxddCATSCustConnectService erreicht.

Error - 1/20/2011 8:23:57 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxddCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 1/20/2011 5:21:14 PM | Computer Name = Antigone | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
lxddCATSCustConnectService erreicht.

Error - 1/20/2011 5:21:14 PM | Computer Name = Antigone | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxddCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 1/21/2011 11:18:06 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
lxddCATSCustConnectService erreicht.

Error - 1/21/2011 11:18:06 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxddCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 1/21/2011 5:17:53 PM | Computer Name = Antigone | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
lxddCATSCustConnectService erreicht.

Error - 1/21/2011 5:17:53 PM | Computer Name = Antigone | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxddCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 1/22/2011 7:58:31 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
lxddCATSCustConnectService erreicht.

Error - 1/22/2011 7:58:31 AM | Computer Name = Antigone | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxddCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053


< End of report >
------------------------------------------------------------------------

Da ich einen 32bit-System habe, habe ich ich GMER installiert. Mit folgendem Ergebnis:

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-12 03:45:29
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9250315AS rev.0003SDM1
Running: e8695vod.exe; Driver: C:\Users\SUPERM~1\AppData\Local\Temp\fwryrpod.sys


---- System - GMER 1.0.15 ----

SSDT 8E15FE96 ZwCreateSection
SSDT 8E15FE9B ZwSetContextThread
SSDT 8E15FE37 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C4E539 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82C73092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 350 82C7A9B0 4 Bytes [96, FE, 15, 8E]
.text ntkrnlpa.exe!RtlSidHashLookup + 6F0 82C7AD50 4 Bytes [9B, FE, 15, 8E]
.text ntkrnlpa.exe!RtlSidHashLookup + 7C8 82C7AE28 4 Bytes [37, FE, 15, 8E]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\00000065 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

-----------------------------------------------------------------------

Ich hoffe, dass ich bislang alles richtig gemacht habe. Ich war mir etwas unsicher, ob ich alles hierherein kopieren soll oder ein Dokuemnt anhängen soll: Dazu scheint es ja unterschiedliche Ansichten zu geben, oder?

Also, wenn mir jemand sagen kann, ob ich noch irgendwas entfernen muss (und wenn ja, wie!), wäre ich sehr, sehr dankbar!

P.S. Bitte gebt mir, wenn Ihr mir helfen wollt, Schritt für Schritt-Anleitungen. Wie angedeutet: Dass ich so weit gekommen bin, grenzt schon an ein Wunder. Normalerweise klicke ich nur auf bunte Icons!

Alt 12.08.2011, 12:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Zitat:
Malwarebytes laufen lassen.
Das Programm fand etwas (unter AppData)
Dann poste auch bitte ALLE Logs davon und nicht nur das ohne Funde.
__________________

__________________

Alt 12.08.2011, 13:24   #3
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo Arne,

als ich Malwarebytes gestern durchlaufen ließ, fand das Programm nur oben angegebene Datei:

Infizierte Dateien:
c:\Users\xxx\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\9Q7NNWEZ\readme[1].exe (Spyware.Passwords.XGen) -> No action taken.

Das Log von meinem allerersten Durchlauf habe ich wie gesagt nicht gespeichert.

Kann man mir trotzdem helfen?

Danke
__________________

Alt 12.08.2011, 13:34   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Beschreibung interessiert nicht, ich will alle (noch vorhandene) Logs vollständig sehen
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.08.2011, 13:45   #5
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo,

ich hatte angenommen, dass das Log verloren ginge, wenn ich es nicht abspeichere. Jetzt habe ich es gefunden. Nachdem die Dateien gelöscht waren, war das BKA-Bild weg.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7367

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03.08.2011 23:58:52
mbam-log-2011-08-03 (23-58-52).txt

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 142766
Laufzeit: 2 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\Users\Lotte\AppData\Local\Temp\0.2045185770105623.exe (Exploit.Drop.2) -> 2724 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Lotte\AppData\Local\Temp\0.2045185770105623.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\Lotte\AppData\Local\Temp\0.5958794610431604.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

Ich hoffe, dass sagt Euch etwas?


Alt 12.08.2011, 14:12   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________
--> BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?

Alt 12.08.2011, 15:38   #7
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo Arne,

wie Du sagtest, habe ich ich Malewarebytes aktualisiert und nochmals einen vollständigen Suchlauf durchgeführt.
Ältere Logdateien habe ich nicht - ich habe Malwarebytes etc. erst im Zusammenhang mit dem BKA-Trojaner installiert und zwischendurch keine Suchen laufen lassen. (Die mehreren Suchen mit OTL liegen nur daran, dass ich zunächst falsche Optionen angeglickt hatte...)
Hier nun die Log-Datei:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7441

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.08.2011 16:23:56
mbam-log-2011-08-12 (16-23-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 314049
Laufzeit: 55 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Vielen Dank im voraus für Deine/Eure Hilfe!!!

Alt 12.08.2011, 18:38   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.08.2011, 22:48   #9
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Lieber Arne,

danke für Deine ausführliche Erklärung.
Hier das Log:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e7facf3d873c2e4d8e664932da5adebf
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-12 08:04:08
# local_time=2011-08-12 10:04:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 13681 49714587 6469 0
# compatibility_mode=5893 16776573 100 94 36232 64805322 0 0
# compatibility_mode=8192 67108863 100 0 709 709 0 0
# scanned=156326
# found=4
# cleaned=0
# scan_time=5317
C:\$Recycle.Bin\S-1-5-21-3515981437-2962491150-2561540356-1000\$RNF4RZH.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Lotte\Datei\Downloads\freeripmp3_2-setup.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter(2).exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean)

Kannst Du jetzt etwas sagen?

Viele Grüße Boogie:

Alt 14.08.2011, 08:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.08.2011, 12:18   #11
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo,

habe ich gemacht:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-08-14.02 - Supermann 14.08.2011  12:43:22.1.1 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.2009.1158 [GMT 2:00]
ausgeführt von:: c:\users\Supermann\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\AutocompletePro
c:\program files\AutocompletePro\AcRemoteUpdate.exe
c:\program files\AutocompletePro\AutocompletePro.dll
c:\program files\AutocompletePro\InstTracker.exe
c:\program files\AutocompletePro\support@predictad.com\chrome.manifest
c:\program files\AutocompletePro\support@predictad.com\chrome\content\browserOverlay.xul
c:\program files\AutocompletePro\support@predictad.com\chrome\content\options.js
c:\program files\AutocompletePro\support@predictad.com\chrome\content\options.xul
c:\program files\AutocompletePro\support@predictad.com\chrome\content\utils.js
c:\program files\AutocompletePro\support@predictad.com\defaults\preferences\predictad.js
c:\program files\AutocompletePro\support@predictad.com\install.rdf
c:\program files\AutocompletePro\TaskScheduler.dll
c:\program files\AutocompletePro\unins000.dat
c:\program files\AutocompletePro\unins000.exe
c:\programdata\SPL646C.tmp
c:\programdata\SPL7890.tmp
c:\programdata\SPLE92.tmp
c:\windows\system32\setup.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-14 bis 2011-08-14  ))))))))))))))))))))))))))))))
.
.
2011-08-14 10:50 . 2011-08-14 10:50	--------	d-----w-	c:\users\Lotte\AppData\Local\temp
2011-08-14 10:50 . 2011-08-14 10:50	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-08-12 18:23 . 2011-08-12 18:23	--------	d-----w-	c:\program files\ESET
2011-08-12 08:31 . 2011-07-13 03:39	6881616	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{21F49711-8CF9-44B0-833B-AB56A87F5C7D}\mpengine.dll
2011-08-11 11:43 . 2011-06-23 04:38	3957120	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-08-11 11:43 . 2011-06-23 04:38	3902336	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-08-11 11:43 . 2011-07-09 02:26	222720	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-08-11 11:43 . 2011-06-21 05:39	1286016	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-08-03 21:51 . 2011-08-03 21:51	--------	d-----w-	c:\users\Supermann\AppData\Roaming\Malwarebytes
2011-08-03 21:51 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-03 21:51 . 2011-08-03 21:51	--------	d-----w-	c:\programdata\Malwarebytes
2011-08-03 21:51 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-03 21:11 . 2011-08-03 21:11	--------	d-----w-	c:\users\Supermann\AppData\Roaming\Thunderbird
2011-08-03 21:11 . 2011-08-03 21:11	--------	d-----w-	c:\users\Supermann\AppData\Local\Thunderbird
2011-08-03 12:09 . 2011-08-03 12:09	--------	d-----w-	c:\users\Supermann\AppData\Roaming\Avira
2011-07-23 10:22 . 2011-07-23 10:22	--------	d-----w-	c:\programdata\CyberLink
2011-07-23 10:21 . 2011-07-23 10:21	--------	d-----w-	c:\users\Lotte\AppData\Roaming\CyberLink
2011-07-23 10:21 . 2011-07-23 10:21	--------	d-----w-	c:\users\Lotte\AppData\Local\CyberLink
2011-07-15 14:05 . 2011-07-15 14:06	--------	d-----w-	c:\users\Lotte\AppData\Roaming\MAGIX
2011-07-15 14:04 . 2011-07-15 14:04	--------	d-----w-	c:\program files\MAGIX
2011-07-15 14:04 . 2011-07-15 14:06	--------	d-----w-	c:\programdata\MAGIX
2011-07-15 14:04 . 2011-07-15 14:04	--------	d-----w-	c:\program files\Common Files\MAGIX Services
2011-07-15 13:30 . 2011-07-15 13:36	--------	d-----w-	C:\temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-26 09:38 . 2010-09-21 12:53	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-26 09:38 . 2010-09-21 12:53	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-11 02:37 . 2011-07-13 15:16	2332672	----a-w-	c:\windows\system32\win32k.sys
2011-05-24 17:14 . 2010-05-12 13:45	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-05-24 10:35 . 2011-06-29 10:09	294912	----a-w-	c:\windows\system32\umpnpmgr.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-06-12 1533224]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-06-02 7518752]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirror Tray icon"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2009-07-08 162912]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"lxddmon.exe"="c:\program files\Lexmark 2500 Series\lxddmon.exe" [2009-04-27 291496]
"lxddamon"="c:\program files\Lexmark 2500 Series\lxddamon.exe" [2009-04-27 25256]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Malwarebytes' Anti-Malware"="c:\users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"Malwarebytes' Anti-Malware (reboot)"="c:\users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-06 1047656]
.
c:\users\Supermann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2011-2-11 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 lxddCATSCustConnectService;lxddCATSCustConnectService;c:\windows\system32\spool\DRIVERS\W32X86\3\\lxddserv.exe [2007-05-25 99248]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-08 136360]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2010-09-14 1830400]
S2 HPSIService;HP SI Service;c:\windows\system32\HPSIsvc.exe [2010-04-07 99896]
S2 lxdd_device;lxdd_device;c:\windows\system32\lxddcoms.exe [2007-05-25 537520]
S2 MBAMService;MBAMService;c:\users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-05-18 119256]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]
S3 mvusbews;USB EWS Device;c:\windows\system32\Drivers\mvusbews.sys [2010-03-05 17408]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-18 118784]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ecosia.de/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Supermann\AppData\Roaming\Mozilla\Firefox\Profiles\0eb0fghg.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
HKLM-Run-LaunchAp - c:\program files\Launch Manager\LaunchAp.exe
HKLM-Run-Wbutton - c:\program files\Launch Manager\WButton.exe
AddRemove-AutocompletePro2_is1 - c:\program files\AutocompletePro\unins000.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-08-14  12:56:43
ComboFix-quarantined-files.txt  2011-08-14 10:56
.
Vor Suchlauf: 14 Verzeichnis(se), 194.250.137.600 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 196.717.047.808 Bytes frei
.
- - End Of File - - A7C77B5257AED52A3F06E55F53388A2A
         
--- --- ---

Danke und viele Grüße!!!

Alt 15.08.2011, 12:56   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.08.2011, 18:15   #13
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Hallo,

puh, das hat mich ganz schön ins Schwitzen gebracht...



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-15 15:10:57
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9250315AS rev.0003SDM1
Running: e8695vod.exe; Driver: C:\Users\SUPERM~1\AppData\Local\Temp\fwryrpod.sys


---- System - GMER 1.0.15 ----

SSDT            8C253FE6                                                                                                ZwCreateSection
SSDT            8C253FEB                                                                                                ZwSetContextThread
SSDT            8C253F87                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                         82C4A539 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                  82C6F092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 350                                                                     82C769B0 4 Bytes  [E6, 3F, 25, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 6F0                                                                     82C76D50 4 Bytes  [EB, 3F, 25, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 7C8                                                                     82C76E28 4 Bytes  [87, 3F, 25, 8C]
.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                         82C4A539 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                  82C6F092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 350                                                                     82C769B0 4 Bytes  [E6, 3F, 25, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 6F0                                                                     82C76D50 4 Bytes  [EB, 3F, 25, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 7C8                                                                     82C76E28 4 Bytes  [87, 3F, 25, 8C]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\system32\HPSIsvc.exe[1636] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [757A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000065                                                                       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:54:05 on 15.08.2011

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - c:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"Nero BurnRights" - "Nero AG" - C:\Program Files\Nero\Nero 9\Nero BurnRights\NeroBurnRights_cpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\SUPERM~1\AppData\Local\Temp\catchme.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys
"Hotkey" (Hotkey) - ? - C:\Windows\system32\drivers\Hotkey.sys  (File found, but it contains no detailed information)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - c:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - c:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{56831180-F115-11d2-B6AA-00104B2B9943} "Libronix File Protocol" - "Libronix Corporation" - C:\Program Files\Libronix DLS\System\FileProt.dll
{24508F1B-9E94-40EE-9759-9AF5795ADF52} "Libronix ResProtocol" - "Libronix Corporation" - C:\Program Files\Libronix DLS\System\ResProt.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - c:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - c:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - c:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - c:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Program Files\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - c:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - c:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{0FB6A909-6086-458F-BD92-1F8EE10042A0} "AC-Pro" - ? - C:\Program Files\AutocompletePro\AutocompletePro.dll  (File not found)
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Supermann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"DivXUpdate" - ? - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"HotkeyApp" - "Wistron" - "C:\Program Files\Launch Manager\HotkeyApp.exe"
"lxddamon" - ? - "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
"lxddmon.exe" - ? - "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"NeroCheck" - "Ahead Software Gmbh" - C:\Windows\system32\NeroCheck.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"UCam_Menu" - "CyberLink Corp." - "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\3.0"
"YouCam Mirror Tray icon" - "CyberLink Corp." - "C:\Program Files\CyberLink\YouCam\YouCamTray.exe" /s

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"KPrint Port" - "KYOCERA MITA CORPORATION" - C:\Windows\system32\KPrnMon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
"Fujitsu Diagnostic Testhandler" (TestHandler) - "Fujitsu Technology Solutions" - C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
"HP SI Service" (HPSIService) - "HP" - C:\Windows\system32\HPSIsvc.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Users\Supermann\Desktop\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - "Nero AG" - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"WisLMSvc" (WisLMSvc) - "Wistron Corp." - C:\Program Files\Launch Manager\WisLMSvc.exe

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---


aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-15 18:57:51
-----------------------------
18:57:51.002 OS Version: Windows 6.1.7600
18:57:51.017 Number of processors: 1 586 0x170A
18:57:51.017 ComputerName: ANTIGONE UserName:
18:57:52.281 Initialize success
18:58:06.676 AVAST engine download error: 0
18:58:42.322 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:58:42.322 Disk 0 Vendor: ST9250315AS 0003SDM1 Size: 238475MB BusType: 11
18:58:44.350 Disk 0 MBR read successfully
18:58:44.366 Disk 0 MBR scan
18:58:44.366 Disk 0 Windows 7 default MBR code
18:58:44.381 Disk 0 scanning sectors +488395120
18:58:44.444 Disk 0 scanning C:\Windows\system32\drivers
18:58:53.195 Service scanning
18:58:54.396 Modules scanning
18:59:02.555 Disk 0 trace - called modules:
18:59:02.571 ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll PCIIDEX.SYS msahci.sys dxgkrnl.sys igdkmd32.sys dxgmms1.sys
18:59:02.571 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85a3d030]
18:59:02.586 3 CLASSPNP.SYS[88baf59e] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85559908]
18:59:03.086 Scan finished successfully
18:59:23.178 Disk 0 MBR has been saved successfully to "C:\Users\Supermann\Desktop\MBR.dat"
18:59:23.178 The log file has been saved successfully to "C:\Users\Supermann\Desktop\aswMBR.txt"


Nun, wie sieht es aus?
Kann man langsam etwas absehen?

Viele Grüße!

Alt 15.08.2011, 18:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.08.2011, 23:45   #15
Antigone
 
BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Standard

BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?



Einen wunderschönen guten Abend, lieber Arne!

hier nun die Ergebnisse meiner letzten 'Hausaufgaben'

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7471

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.08.2011 21:07:33
mbam-log-2011-08-15 (21-07-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 325725
Laufzeit: 43 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/15/2011 at 10:44 PM

Application Version : 5.0.1108

Core Rules Database Version : 7566
Trace Rules Database Version: 5378

Scan type : Complete Scan
Total Scan Time : 01:07:16

Operating System Information
Windows 7 Home Premium 32-bit (Build 6.01.7600)
UAC On - Administrator

Memory items scanned : 765
Memory threats detected : 0
Registry items scanned : 37511
Registry threats detected : 0
File items scanned : 170119
File threats detected : 57

Adware.Tracking Cookie
bc.youporn.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
cdn5.specificclick.net [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
ia.media-imdb.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
imagesrv.adition.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
media.katholisch.de [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
media.scanscout.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
s0.2mdn.net [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
secure-us.imrworldwide.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
track.webgains.com [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
www.ardmediathek.de [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
www.euros4click.de [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
www.mediamarkt.de [ C:\USERS\xxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\JDKS8P4K ]
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@DOUBLECLICK[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@SMARTADSERVER[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@AD3.ADFARM1.ADITION[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@ATDMT[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@CONTENT.YIELDMANAGER[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@ADFARM1.ADITION[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@SERVING-SYS[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@AD.YIELDMANAGER[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@INVITEMEDIA[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\xxx@CONTENT.YIELDMANAGER[3].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@ADS.MEDIENHAUS[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@WWW.ETRACKER[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@WLW.122.2O7[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@ADTECH[1].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@SERVING-SYS[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@OVERTURE[2].TXT
C:\USERS\xxx\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\xxx@AD.ZANOX[1].TXT
www.xxx.de [ C:\USERS\SUPERMANN\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\CHY555FG ]
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@YADRO[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@AD.ZANOX[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@CLICKAIDER[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@WEBMASTERPLAN[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@TRADEDOUBLER[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@DOUBLECLICK[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@UNITYMEDIA[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@APMEBF[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@TRACKING.QUISMA[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ADFARM1.ADITION[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ADX.CHIP[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ATDMT[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@AD3.ADFARM1.ADITION[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ZBOX.ZANOX[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@TRAFFICTRACK[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ADSERVER[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@SERVING-SYS[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@AD.YIELDMANAGER[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@WWW.COUNTER[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@ZANOX[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@INVITEMEDIA[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@STATSE.WEBTRENDSLIVE[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@SPECIFICCLICK[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@IMRWORLDWIDE[2].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@KASPERSKY.122.2O7[1].TXT
C:\USERS\SUPERMANN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\SUPERMANN@MEDIAPLEX[1].TXT

Trojan.Dropper/YUR-NV
C:\USERS\xxx\DESKTOP\xxx\xxx\xxx\xxx\xxx\xxx\xxx\xxx\xxx.DOC

-> Das ist eine doc-Datei, die ich selbst vor mehreren Jahren angelegt habe...

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e7facf3d873c2e4d8e664932da5adebf
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-12 08:04:08
# local_time=2011-08-12 10:04:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 13681 49714587 6469 0
# compatibility_mode=5893 16776573 100 94 36232 64805322 0 0
# compatibility_mode=8192 67108863 100 0 709 709 0 0
# scanned=156326
# found=4
# cleaned=0
# scan_time=5317
C:\$Recycle.Bin\S-1-5-21-3515981437-2962491150-2561540356-1000\$RNF4RZH.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Lotte\Datei\Downloads\freeripmp3_2-setup.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter(2).exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e7facf3d873c2e4d8e664932da5adebf
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-15 10:16:33
# local_time=2011-08-16 12:16:33 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 208438 49982179 113662 0
# compatibility_mode=5893 16776573 100 94 303824 65072914 0 0
# compatibility_mode=8192 67108863 100 0 268301 268301 0 0
# scanned=131897
# found=3
# cleaned=0
# scan_time=4870
C:\Users\Lotte\Datei\Downloads\freeripmp3_2-setup.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter(2).exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Supermann\Downloads\Setup19_FreeConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I

Mh.
Deine letzte Nachricht, es "sehe ok aus" aus, ließ mich ja hoffen

Kann man denn nun langsam etwas Definitives sagen?

Auf jeden Fall Dir noch eine gute Nacht und vielen Dank für Deine Zeit!

Viele Grüße!

Antwort

Themen zu BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?
32 bit, antivir, autorun, bho, browser, bundeskriminalamt, computer, computern, defender, entfernen, excel, fehler, firefox, flash player, format, home, host.exe, hotkey.sys, hängen, install.exe, launch, locker, logfile, malware, mbamservice.exe, microsoft office word, mozilla thunderbird, mp3, object, problem, programm, realtek, registry, rundll, sched.exe, shell32.dll, software, spyware, start menu, taskhost.exe, trojaner, ukash, virus, webcheck



Ähnliche Themen: BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?


  1. Trojan.Ransom.FGen - Bundeskriminalamt - Ukash 100€
    Plagegeister aller Art und deren Bekämpfung - 16.12.2012 (6)
  2. Bundeskriminalamt Ukash Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (7)
  3. Bundeskriminalamt Trojaner
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (32)
  4. Habe den Trojaner ukash bundeskriminalamt: weiterführung zu vorherigem Thread
    Log-Analyse und Auswertung - 18.12.2011 (1)
  5. Bundeskriminalamt Virus ukash - erfolgreich enrfernt
    Mülltonne - 22.09.2011 (3)
  6. Ukash Bundeskriminalamt Otl.txt
    Log-Analyse und Auswertung - 17.08.2011 (32)
  7. Ukash Bundeskriminalamt Problem
    Log-Analyse und Auswertung - 11.08.2011 (2)
  8. Ukash Bundeskriminalamt.
    Log-Analyse und Auswertung - 04.08.2011 (1)
  9. Bundeskriminalamt Trojaner
    Log-Analyse und Auswertung - 03.08.2011 (5)
  10. ukash bundeskriminalamt weiterführung zu vorherigem Thread
    Log-Analyse und Auswertung - 15.07.2011 (9)
  11. ukash bundeskriminalamt
    Log-Analyse und Auswertung - 20.06.2011 (24)
  12. Bundeskriminalamt-Trojaner
    Log-Analyse und Auswertung - 19.06.2011 (2)
  13. Ukash - Bundeskriminalamt virus; Windows XP SP3; OTL.TXT
    Log-Analyse und Auswertung - 30.05.2011 (19)
  14. Bitte um fix.txt für "Bundeskriminalamt Ukash" Trojaner
    Log-Analyse und Auswertung - 27.05.2011 (5)
  15. Bundeskriminalamt Trojaner, Ukash
    Plagegeister aller Art und deren Bekämpfung - 16.04.2011 (3)
  16. Trojaner Überreste? 1.tmp
    Log-Analyse und Auswertung - 07.03.2007 (1)
  17. Überreste alter Trojaner im Logfile?
    Log-Analyse und Auswertung - 26.12.2004 (1)

Zum Thema BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? - Hallo liebe Helfer, vor ein paar Tagen hatte ich den BKA-Trojaner auf meinem Rechner (Win 7, 32 bit). Obwohl ich überhaupt keine Ahnung von Computern habe, habe ich eine Nacht - BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste?...
Archiv
Du betrachtest: BKA Bundeskriminalamt Trojaner/Ukash: Wie entferne ich Überreste? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.