| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.08.2011, 09:52
| #1 |
 |  Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Moin, lange Zeit wurde ich, wenn ich bestimmte Seiten aufgerufen habe auf andere Seiten z.B. von Bigpoint weitergeleitet. Auch bei der Suchmaschine Google wurde ich beim anklicken der Suchergebnisse oftmals auf diverse andere Werbeseiten verlinkt. Da mein Avira oder die Vista Firewall nie etwas bemängelten, habe ich es in meiner Naivität einfach so hingenommen. Anfang dieser Woche hatte ich jedoch genug davon und betrieb Ursachenforschung… Ich las mich durch diverse Foren und fand Beiträge, die meinem Problem sehr ähnelten. Daraufhin installierte ich mir Spybot und Malwarebytes und jagte diese über mein System. Es hat sich herausgestellt, dass ich 3 schädliche Programme auf meinem Lap-Top hatte: 1. Win32.Katusha.o ( Trojaner ) 2. Babylon.Toolbar ( Adware C ) 3. Fraud.WindowsLive.BHO ( Malware C ) Bei der Beseitigung dieser Schädlinge traten keine Probleme auf und die oben beschriebenen Beschwerden habe ich auch nicht mehr. Weder Avira, Spybot noch Malwarebytes zeigen irgendwelche infizierten Objekte an. Seit dieser Reinigung bzw. der Installation der neuen “Virenjäger” sind mir jedoch zwei Dinge aufgefallen: 1. Nach der Anmeldung als Administrator erscheint ein kleines schwarzes Fenster, welches jedoch nur einen Augenblick lang dort verweilt, das einzige was ich dort lesen konnte war etwas wie “ System Win 32” oder so ähnlich… 2. Vista sagt mir das mein Avira Antivir Personal ausgeschaltet sei, was aber nicht stimmt. ( Avira sagt es sei aktiv und unter Task-Manager ( Prozesse) kann man es auch aktiv sehen). Aber irgendwie beschleicht mich das Gefühl, dass es zu einfach war und ich mache mir große Sorgen das mein System noch immer infiziert ist bzw. nun anfälliger für Trojaner, Viren, Keylogger, Spyware usw. Ich nutze meinen Lap-Top überwiegend zum Online spielen, daher vor allem die Angst das meine Accounts gehackt werden, aber auch für die Bezahlung eben dieser, also Online Banking. Sollte ich dies nun lieber sein lassen und mein System vorsichtshalber neu aufsetzen ? Oder sind meine Befürchtungen unbegründet? Ich würde mich sehr über einen professionellen Rat freuen, damit ich wieder ruhig schlafen kann. Danke. P.S. Ich habe versucht mich an die Forenanleitung zu halten und die angegebenen Scans durchgeführt. Da jedes Detail eventuell wichtig sein könnte sind mir 2 Dinge bei den Scans aufgefallen: 1. Defogger hat mich nicht zu einem Neustart aufgefordert. 2. Gmer hat beim ersten Scanversuch laut Vista: “ Nicht mehr funktioniert”..der 2. Verlief ohne Komplikationen. OTL-Extra + Gmer- Log befinden sich im Anhang. Hier das OTL-log:OTL Logfile: Code:
ATTFilter OTL logfile created on: 12.08.2011 09:02:00 - Run 1 OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\Mustermann\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,94 Gb Available Physical Memory | 64,76% Memory free 6,18 Gb Paging File | 5,16 Gb Available in Paging File | 83,47% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 268,79 Gb Total Space | 134,22 Gb Free Space | 49,93% Space Free | Partition Type: NTFS Drive D: | 29,28 Gb Total Space | 14,28 Gb Free Space | 48,78% Space Free | Partition Type: FAT32 Computer Name: MustermannPC | User Name: Mustermann | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe PRC - [2011.06.30 13:07:42 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.01 04:39:47 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.03.21 12:07:42 | 000,196,928 | ---- | M] (Nitro PDF Software) -- C:\Programme\Nitro PDF\Professional\NitroPDFDriverService.exe PRC - [2010.11.16 20:01:34 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.08.18 11:29:22 | 001,529,728 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE PRC - [2009.08.18 11:29:22 | 000,183,152 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE PRC - [2009.04.10 23:28:04 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe PRC - [2009.04.10 23:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.04.10 23:27:30 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe PRC - [2009.03.05 18:54:50 | 000,311,296 | ---- | M] () -- C:\Windows\System32\Rezip.exe PRC - [2009.02.11 17:38:40 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe PRC - [2009.01.26 15:31:16 | 002,144,088 | RHS- | M] (Safer Networking Limited) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2009.01.26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe PRC - [2008.10.29 16:20:34 | 000,070,656 | ---- | M] () -- C:\Programme\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe PRC - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- C:\Programme\Common Files\Protexis\License Service\PsiService_2.exe PRC - [2007.06.20 23:04:52 | 000,046,432 | ---- | M] (Microsoft® Corporation) -- C:\Programme\Microsoft Works\WkCalRem.exe PRC - [2007.06.05 13:20:32 | 000,177,704 | ---- | M] () -- C:\Windows\System32\PSIService.exe ========== Modules (SafeList) ========== MOD - [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - [2011.06.30 13:07:42 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.01 04:39:47 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.03.21 12:07:42 | 000,196,928 | ---- | M] (Nitro PDF Software) [Auto | Running] -- C:\Program Files\Nitro PDF\Professional\NitroPDFDriverService.exe -- (NitroDriverReadSpool) SRV - [2010.11.30 18:03:00 | 004,023,760 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\Windows\System32\GameMon.des -- (npggsvc) SRV - [2009.03.05 18:54:50 | 000,311,296 | ---- | M] () [Auto | Running] -- C:\Windows\System32\Rezip.exe -- (Rezip) SRV - [2009.02.11 17:38:40 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R) SRV - [2009.01.26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService) SRV - [2008.10.29 16:20:34 | 000,070,656 | ---- | M] () [Auto | Running] -- C:\Program Files\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe -- (resetWinService) SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2) SRV - [2007.06.05 13:20:32 | 000,177,704 | ---- | M] () [Auto | Running] -- C:\Windows\System32\PSIService.exe -- (ProtexisLicensing) ========== Driver Services (SafeList) ========== DRV - [2011.06.30 13:07:42 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2011.06.30 13:07:42 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.04.16 05:56:56 | 000,009,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\WinIo.sys -- (WINIO) DRV - [2009.06.17 11:17:28 | 000,041,984 | ---- | M] (Sentelic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\fspad_wlh32.sys -- (fspad_wlh32) DRV - [2009.05.25 08:50:44 | 000,164,864 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.05.08 22:58:00 | 007,551,200 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2009.05.08 19:02:48 | 000,498,176 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se) DRV - [2009.05.01 10:13:34 | 000,064,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2008.12.29 18:06:54 | 001,799,808 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC) DRV - [2008.12.20 02:08:28 | 000,030,088 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\point32k.sys -- (Point32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.09 11:56:44 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.16 20:07:47 | 000,000,000 | ---D | M] [2011.03.12 20:03:58 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Extensions [2009.08.28 20:53:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Extensions\mozswing@mozswing.org [2011.07.23 10:02:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Firefox\Profiles\zdr8lbga.default\extensions [2011.08.09 11:56:44 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2011.07.04 14:13:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.07.08 09:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKCU..\RunOnce: [SpybotDeletingB5256] C:\Windows\System32\COMMAND.COM () O4 - HKCU..\RunOnce: [SpybotDeletingD3258] C:\Windows\System32\cmd.exe (Microsoft Corporation) O4 - HKCU..\RunOnce: [SpybotDeletingD5994] C:\Windows\System32\cmd.exe (Microsoft Corporation) O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O13 - gopher Prefix: missing O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab (DLM Control) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} hxxp://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUplden-us.cab (Windows Live Hotmail Photo Upload Tool) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2008.08.21 11:50:32 | 000,000,672 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.08.12 08:54:19 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe [2011.08.11 07:49:35 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.08.10 08:14:48 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2011.08.10 08:14:44 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.08.10 08:14:43 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011.08.09 12:40:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2011.08.09 12:40:13 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy [2011.08.09 12:37:43 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Users\Mustermann\Desktop\spybotsd162.exe [2011.07.30 16:45:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RIFT [2011.07.30 16:44:58 | 000,000,000 | ---D | C] -- C:\Program Files\RIFT Game [2011.07.14 06:02:23 | 000,000,000 | ---D | C] -- C:\Users\Mustermann\AppData\Roaming\RIFT [2009.06.10 15:00:53 | 000,225,280 | ---- | C] ( ) -- C:\Windows\System32\rsnp2uvc.dll [2009.06.10 15:00:52 | 000,176,128 | ---- | C] ( ) -- C:\Windows\System32\csnp2uvc.dll [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.12 09:00:19 | 000,017,450 | ---- | M] () -- C:\Users\Mustermann\AppData\Roaming\wklnhst.dat [2011.08.12 08:59:49 | 000,017,408 | ---- | M] () -- C:\Users\Mustermann\Desktop\Unbenanntes Dokument.wps [2011.08.12 08:57:53 | 000,003,283 | ---- | M] () -- C:\Users\Mustermann\Desktop\anleitung.rtf [2011.08.12 08:57:01 | 000,000,000 | ---- | M] () -- C:\Users\Mustermann\defogger_reenable [2011.08.12 08:54:51 | 000,302,592 | ---- | M] () -- C:\Users\Mustermann\Desktop\6zkouwyi.exe [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe [2011.08.12 08:54:03 | 000,050,477 | ---- | M] () -- C:\Users\Mustermann\Desktop\Defogger.exe [2011.08.12 08:10:29 | 000,639,210 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.08.12 08:10:29 | 000,604,764 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.08.12 08:10:29 | 000,131,218 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.08.12 08:10:29 | 000,108,096 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.08.12 08:04:49 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl [2011.08.12 08:04:44 | 000,031,871 | ---- | M] () -- C:\ProgramData\nvModes.001 [2011.08.12 08:04:44 | 000,004,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.08.12 08:04:44 | 000,004,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.08.12 08:04:39 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.08.10 08:14:48 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.08.10 08:12:15 | 000,022,016 | ---- | M] () -- C:\Users\Mustermann\Desktop\KKH 10.08.11.wps [2011.08.09 13:51:39 | 000,000,149 | ---- | M] () -- C:\Windows\wininit.ini [2011.08.09 12:38:39 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Users\Mustermann\Desktop\spybotsd162.exe [2011.08.09 12:33:10 | 000,001,227 | ---- | M] () -- C:\Users\Mustermann\Desktop\Dokument.rtf [2011.08.05 21:06:06 | 000,017,408 | ---- | M] () -- C:\Users\Mustermann\Desktop\Keybinding.wps [2011.07.30 16:45:13 | 000,001,720 | ---- | M] () -- C:\Users\Public\Desktop\RIFT spielen.lnk [2011.07.25 18:35:34 | 000,031,871 | ---- | M] () -- C:\ProgramData\nvModes.dat [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.08.12 08:57:53 | 000,003,283 | ---- | C] () -- C:\Users\Mustermann\Desktop\anleitung.rtf [2011.08.12 08:57:01 | 000,000,000 | ---- | C] () -- C:\Users\Mustermann\defogger_reenable [2011.08.12 08:54:47 | 000,302,592 | ---- | C] () -- C:\Users\Mustermann\Desktop\6zkouwyi.exe [2011.08.12 08:54:02 | 000,050,477 | ---- | C] () -- C:\Users\Mustermann\Desktop\Defogger.exe [2011.08.12 08:50:09 | 000,017,408 | ---- | C] () -- C:\Users\Mustermann\Desktop\Unbenanntes Dokument.wps [2011.08.10 08:14:48 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.08.10 07:22:37 | 000,022,016 | ---- | C] () -- C:\Users\Mustermann\Desktop\KKH 10.08.11.wps [2011.08.09 13:32:36 | 000,000,149 | ---- | C] () -- C:\Windows\wininit.ini [2011.08.09 12:33:10 | 000,001,227 | ---- | C] () -- C:\Users\Mustermann\Desktop\Dokument.rtf [2011.08.09 11:56:44 | 000,000,862 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [2011.07.30 16:45:13 | 000,001,720 | ---- | C] () -- C:\Users\Public\Desktop\RIFT spielen.lnk [2011.07.04 13:46:36 | 000,000,093 | ---- | C] () -- C:\Users\Mustermann\AppData\Local\fusioncache.dat [2011.05.01 04:10:57 | 000,000,000 | ---- | C] () -- C:\Windows\Irremote.ini [2011.04.09 18:55:28 | 000,179,261 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat [2011.03.24 22:47:40 | 000,008,192 | ---- | C] () -- C:\Users\Mustermann\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.25 13:40:13 | 000,000,952 | -HS- | C] () -- C:\ProgramData\KGyGaAvL.sys [2010.04.17 00:50:43 | 000,002,560 | ---- | C] () -- C:\Windows\_MSRSTRT.EXE [2010.04.16 05:56:56 | 000,009,336 | ---- | C] () -- C:\Windows\System32\WinIo.sys [2010.02.26 10:27:30 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2010.02.25 13:45:58 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini [2009.10.02 15:22:49 | 000,017,450 | ---- | C] () -- C:\Users\Mustermann\AppData\Roaming\wklnhst.dat [2009.09.16 19:27:58 | 000,508,224 | ---- | C] () -- C:\Windows\System32\ICCProfiles.dll [2009.08.09 04:05:02 | 000,031,871 | ---- | C] () -- C:\ProgramData\nvModes.001 [2009.08.09 03:13:37 | 000,031,871 | ---- | C] () -- C:\ProgramData\nvModes.dat [2009.06.10 15:00:53 | 001,799,808 | ---- | C] () -- C:\Windows\System32\drivers\snp2uvc.sys [2009.06.10 15:00:53 | 000,233,472 | ---- | C] () -- C:\Windows\tsnp2uvc.exe [2009.06.10 15:00:53 | 000,015,497 | ---- | C] () -- C:\Windows\snp2uvc.ini [2009.06.10 15:00:52 | 000,028,544 | ---- | C] () -- C:\Windows\System32\drivers\sncduvc.sys [2009.06.10 14:58:06 | 000,311,296 | ---- | C] () -- C:\Windows\System32\Rezip.exe [2009.06.10 14:49:38 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll [2009.06.10 14:38:31 | 000,000,276 | ---- | C] () -- C:\Windows\System32\drivers\SamSfPa.dat [2009.06.09 20:24:37 | 000,639,210 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2009.06.09 20:24:37 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2009.06.09 20:24:37 | 000,131,218 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2009.06.09 20:24:37 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2009.06.09 10:54:18 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.06.09 10:53:58 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2009.06.09 10:34:57 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2007.06.05 13:20:32 | 000,177,704 | ---- | C] () -- C:\Windows\System32\PSIService.exe [2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 14:47:37 | 000,403,856 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 12:33:01 | 000,604,764 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2006.11.02 12:33:01 | 000,108,096 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2006.11.02 12:25:26 | 000,557,568 | ---- | C] () -- C:\Windows\System32\hpotscl1.dll [2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat ========== LOP Check ========== [2011.04.30 06:57:47 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Downloaded Installations [2011.05.25 12:11:39 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Lionhead Studios [2011.08.12 09:00:18 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Nitro PDF [2011.07.30 16:45:05 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\RIFT [2009.10.02 15:22:51 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Template [2011.07.04 12:17:51 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\TuneUp Software [2011.07.04 09:53:00 | 000,000,552 | ---- | M] () -- C:\Windows\Tasks\At1.job [2011.08.11 21:51:06 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > Geändert von Pontiac (12.08.2011 um 09:57 Uhr) |
| Themen zu Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? |
| adware, antivir, autorun, avira, beseitigung, bestimmte seiten, c:\windows\system32\cmd.exe, defender, explorer, firefox, format, google, home, infizierte, installation, logfile, malware c, neu aufsetzen, neustart, nvlddmkm.sys, otl-log, plug-in, problem, prozesse, realtek, registry, safer networking, software, spielen, spyware, start menu, suchmaschine, trojaner, usb, usb 2.0, version=1.0, vista, win 32 |
Baum-Darstellung