|
Log-Analyse und Auswertung: Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehrWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
15.08.2011, 18:53 | #1 |
| Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr Hallo und ein herzliches für Eure Hilfsbereitschaft! Was bisher geschah: Ein Bekannter bringt mir seinen Laptop als "Patienten" vorbei - er ist offenbar mit dem Bundespolizei-Trojaner befallen, der keine weitere Interaktion mit dem Betriebssystem mehr zulässt und zur Zahlung bei UKash auffordert. Da ich eben diesen Laptop bereits im Mai 2011 erfolgreich anhand der Anleitungen in diesem Forum von "Windows Recovery" befreien konnte, lese ich mir die Threads zum Thema "Bundespolizei" bzw. "BKA" durch und mache mich an die Arbeit. Schritt 1: Von einer Reatogo-X-PE-CD gebootet, wird ein OTL-Scan durchgeführt. Ergebnis: Code:
ATTFilter OTL logfile created on: 8/12/2011 6:05:34 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3, v.3311 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 7.0.5730.11) Locale: 00000409 | Country: United States | Language: ENU | Date Format: M/d/yyyy 3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free 3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free Paging file location(s): D:\pagefile.sys 4605 4605 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 79.98 Gb Total Space | 59.48 Gb Free Space | 74.38% Space Free | Partition Type: FAT32 Drive D: | 122.89 Gb Total Space | 107.95 Gb Free Space | 87.84% Space Free | Partition Type: NTFS Drive E: | 195.78 Gb Total Space | 133.92 Gb Free Space | 68.40% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - File not found [Auto] -- -- (Ati HotKey Poller) SRV - File not found [Auto] -- -- (Ati External Event Utility) SRV - [2009/07/20 12:28:10 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ) SRV - [2009/02/27 07:54:22 | 000,870,672 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) Intel(R) SRV - [2009/02/27 07:26:32 | 000,348,160 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Intel\WiFi\bin\WLKEEPER.exe -- (WLANKEEPER) Intel(R) SRV - [2009/02/27 06:55:20 | 000,909,312 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe -- (S24EventMonitor) Intel(R) SRV - [2009/02/27 06:38:38 | 000,473,360 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) Intel(R) SRV - [2009/02/25 21:59:06 | 001,352,960 | ---- | M] (O&O Software GmbH) [Auto] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag) SRV - [2009/02/23 11:48:50 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc) SRV - [2008/11/04 01:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2008/10/26 12:25:06 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2008/04/24 08:44:26 | 001,238,344 | ---- | M] (Famatech International Corp.) [Auto] -- C:\WINDOWS\System32\rserver30\RServer3.exe -- (RServer3) SRV - [2008/02/28 17:07:48 | 000,529,704 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - [2007/09/28 16:05:16 | 000,128,360 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service) SRV - [2007/09/03 17:01:50 | 000,053,248 | ---- | M] () [Auto] -- C:\Programme\C&E\OSD\OsdService\OsdService.exe -- (OsdService) SRV - [2007/07/21 20:16:20 | 000,136,192 | ---- | M] (Uwe Sieber - www.uwe-sieber.de) [Auto] -- C:\Programme\USBDLM\USBDLM.exe -- (USBDLM) SRV - [2007/02/22 14:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield) SRV - [2007/02/22 14:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager) SRV - [2006/12/19 05:24:50 | 000,104,000 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework) SRV - [2006/10/26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2006/05/23 23:49:14 | 000,024,576 | ---- | M] (Syntek America Inc.) [Auto] -- C:\WINDOWS\system32\StkASv2K.exe -- (StkASSrv) SRV - [2003/06/20 08:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM) SRV - [2002/04/03 18:54:08 | 000,073,728 | ---- | M] (H.C. Mingham-Smith Ltd.) [Auto] -- C:\WINDOWS\system32\k9nt.exe -- (K9) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (STHDA) DRV - File not found [Kernel | On_Demand] -- -- (sfng32) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2009/06/17 17:56:16 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2009/06/17 17:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2009/05/14 15:49:32 | 000,094,360 | ---- | M] (ESET) [Kernel | System] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir) DRV - [2009/05/14 15:47:14 | 000,107,256 | ---- | M] (ESET) [Kernel | System] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv) DRV - [2009/05/14 15:41:10 | 000,114,472 | ---- | M] (ESET) [File_System | Auto] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon) DRV - [2009/03/04 10:31:32 | 004,202,496 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel(R) DRV - [2009/02/05 19:39:08 | 000,017,064 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\SiWinAcc.sys -- (SiFilter) DRV - [2009/02/05 19:39:00 | 000,012,200 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\SiRemFil.sys -- (SiRemFil) DRV - [2009/02/05 19:38:24 | 000,212,520 | ---- | M] (Silicon Image, Inc) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\Si3531.sys -- (Si3531) DRV - [2008/09/18 18:48:58 | 004,816,896 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008/08/13 17:23:56 | 000,011,904 | ---- | M] (Intel Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans) DRV - [2008/07/01 11:27:44 | 000,108,800 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008/05/23 16:54:38 | 000,030,816 | ---- | M] (Intel Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\iqvw32.sys -- (NAL) DRV - [2008/04/24 08:49:26 | 000,045,848 | ---- | M] (Famatech International Corp.) [Kernel | System] -- C:\WINDOWS\system32\rserver30\raddrvv3.sys -- (raddrvv3) DRV - [2008/03/25 16:24:22 | 000,131,712 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd) DRV - [2008/03/25 13:54:02 | 000,041,472 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte) DRV - [2008/03/19 11:38:24 | 000,074,112 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid) DRV - [2008/02/11 22:46:52 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx) DRV - [2008/01/22 20:57:48 | 000,054,144 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd) DRV - [2007/12/05 07:26:42 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2007/12/04 23:08:12 | 003,351,040 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\atikmdag.sys -- (atikmdag) DRV - [2007/11/29 09:45:44 | 000,036,608 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp) DRV - [2007/11/05 09:55:04 | 000,017,952 | ---- | M] () [Kernel | System] -- C:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys -- (atitray) DRV - [2007/10/18 14:25:00 | 000,041,856 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb) DRV - [2007/10/02 11:43:22 | 000,064,128 | ---- | M] (TOSHIBA Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom) DRV - [2007/09/04 16:20:00 | 000,005,120 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\Programme\C&E\OSD\OsdService\cebuffer.sys -- (CEBFilter) DRV - [2007/08/31 16:18:06 | 000,004,608 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\Programme\C&E\OSD\OsdService\ceio.sys -- (CEIO) DRV - [2007/08/31 14:22:26 | 000,007,168 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\Programme\C&E\OSD\OsdService\kbfiltr.sys -- (cKBFilter) DRV - [2007/06/13 23:47:12 | 000,048,256 | ---- | M] (JMicron Technology Corp.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\jraid.sys -- (JRAID) DRV - [2007/06/01 16:10:38 | 000,753,456 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BisonCam.sys -- (Cam5603D) DRV - [2007/05/11 19:00:14 | 000,045,056 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R) DRV - [2007/02/22 20:50:00 | 000,170,408 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk) DRV - [2007/01/08 13:38:30 | 000,046,592 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\itecir.sys -- (itecir) DRV - [2006/11/30 08:50:00 | 000,072,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk) DRV - [2006/11/30 08:50:00 | 000,064,360 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk) DRV - [2006/11/30 08:50:00 | 000,052,136 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik) DRV - [2006/11/30 08:50:00 | 000,034,152 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk) DRV - [2006/11/15 17:32:44 | 000,242,139 | ---- | M] (Syntek America Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\StkAMini.sys -- (StkAMini) DRV - [2006/11/01 06:01:56 | 000,003,328 | ---- | M] (Famatech International Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rminiv3.sys -- (mirrorv3) DRV - [2006/09/22 14:06:10 | 000,092,160 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mcdbus.sys -- (mcdbus) DRV - [2006/06/27 18:27:18 | 000,004,772 | ---- | M] (Syntek America Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\StkScan.sys -- (StkScan) DRV - [2005/09/26 19:33:12 | 000,002,368 | ---- | M] () [Kernel | On_Demand] -- D:\util\vscan\ETRemover_v212\engine.sys -- (Engine) DRV - [2005/01/07 05:42:00 | 000,018,612 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds) DRV - [2001/08/18 19:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb) DRV - [2001/08/18 19:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2852: D:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.46: D:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1662: D:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.46: D:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2011/05/16 11:38:12 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2007/01/07 18:48:22 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2007/01/07 18:48:22 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2007/01/07 18:48:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010/09/16 11:30:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010/11/09 15:03:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011/02/21 16:23:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011/06/10 11:16:32 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} [2011/06/29 13:07:16 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011/05/04 04:52:24 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2010/01/01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2010/01/01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2010/01/01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2010/01/01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2010/01/01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2010/01/01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009/05/30 02:54:12 | 000,308,237 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com O1 - Hosts: 127.0.0.1 swupmf.adobe.com O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.132.com O1 - Hosts: 127.0.0.1 132.com O1 - Hosts: 127.0.0.1 www.136136.net O1 - Hosts: 127.0.0.1 136136.net O1 - Hosts: 10607 more lines... O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - D:\Programme\McAfee\VirusScan Enterprise\ScriptCl.dll (McAfee, Inc.) O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe (Intel(R) Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe (Intel(R) Corporation) O4 - HKLM..\Run: [ITSecMng] C:\Programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe ( TOSHIBA CORPORATION) O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.) O4 - HKLM..\Run: [McAfeeUpdaterUI] D:\Programme\McAfee\Common Framework\UdaterUI.exe (McAfee, Inc.) O4 - HKLM..\Run: [NBKeyScan] D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe (O&O Software GmbH) O4 - HKLM..\Run: [OSD] C:\Programme\C&E\OSD\osd.exe (C&E) O4 - HKLM..\Run: [ShStatEXE] D:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [UserFaultCheck] File not found O4 - HKU\.DEFAULT..\Run: [4Y3Y0C3A9V3U1U6IMQRPCPMS] C:\Recycle.Bi\A96C465EBB6.exe (Owed Grant) O4 - HKLM..\RunOnce: [*Restore] C:\WINDOWS\System32\restore\rstrui.exe (Microsoft Corporation) O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243644401164 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1243644373617 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} hxxp://support.f-secure.com/ols/fscax.cab (F-Secure Online Scanner 3.0) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\default\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\default\Anwendungsdaten\jashla.exe (aIKf) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\Ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - X:\I386\SYSTEM32\BROWSEUI.DLL (Microsoft Corporation) O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - X:\I386\SYSTEM32\BROWSEUI.DLL (Microsoft Corporation) O24 - Desktop WallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007/01/07 04:11:00 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/08/08 19:18:56 | 000,000,000 | -HSD | C] -- C:\FOUND.007 [2011/08/08 16:09:22 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy [2011/07/18 09:08:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/08/12 16:32:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/08/12 16:31:42 | 000,000,012 | ---- | M] () -- C:\WINDOWS\bthservsdp.dat [2011/08/12 16:19:08 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011/08/12 15:57:30 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011/08/12 15:57:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/08/12 15:57:16 | 001,740,551 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor [2011/08/08 17:29:50 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2011/08/08 08:19:08 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/08/08 08:19:02 | 001,366,513 | ---- | M] () -- C:\WINDOWS\KernelMessage [2011/07/18 09:08:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/07/18 09:08:37 | 000,002,241 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/05/16 11:30:56 | 000,217,437 | ---- | C] () -- C:\WINDOWS\hpoins39.dat [2011/05/16 11:30:56 | 000,000,703 | ---- | C] () -- C:\WINDOWS\hpomdl39.dat [2011/05/11 15:43:10 | 000,039,125 | ---- | C] () -- C:\WINDOWS\iccsigs.dat [2011/05/08 23:56:35 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2011/05/08 23:54:25 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\Atiiprxx.exe [2011/05/08 23:54:21 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat [2011/05/08 23:54:21 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2011/05/08 23:54:21 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2011/05/08 23:54:20 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini [2011/05/08 13:39:07 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010/12/07 12:59:38 | 000,000,074 | RHS- | C] () -- C:\WINDOWS\CT4CET.bin [2009/11/11 17:33:28 | 000,000,099 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI [2009/06/09 08:07:54 | 000,000,432 | ---- | C] () -- C:\WINDOWS\brwmark.ini [2009/06/09 08:07:54 | 000,000,205 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2009/06/09 08:07:54 | 000,000,092 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2009/06/09 08:07:54 | 000,000,065 | ---- | C] () -- C:\WINDOWS\System32\BD7420.dat [2009/06/09 08:07:54 | 000,000,052 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2009/06/06 16:01:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\longfile.INI [2009/06/06 16:01:48 | 001,371,436 | R--- | C] () -- C:\WINDOWS\System32\VBAR2132.DLL [2009/06/06 15:58:53 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\scpext.dll [2009/06/03 07:45:07 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2009/05/30 03:24:13 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\atiumdva.dat [2009/05/30 03:24:12 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\atitmmxx.dll [2009/05/30 03:24:12 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2008/10/29 12:35:41 | 000,472,576 | ---- | C] () -- C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe [2008/10/29 12:19:05 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008/10/27 11:32:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI [2008/10/26 11:37:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OODCNT.INI [2008/10/26 11:18:07 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2008/10/26 11:18:07 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini [2008/10/26 11:18:01 | 000,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2008/10/26 11:18:01 | 000,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2008/10/26 11:18:00 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008/10/26 11:17:59 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008/10/26 10:13:15 | 000,015,190 | ---- | C] () -- C:\WINDOWS\M2000Twn.ini [2008/10/26 10:13:14 | 000,753,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\BisonCam.sys [2008/10/26 05:01:12 | 000,000,012 | ---- | C] () -- C:\WINDOWS\bthservsdp.dat [2008/08/14 01:23:57 | 001,399,880 | ---- | C] () -- C:\WINDOWS\System32\igklg450.dll [2008/08/14 01:23:56 | 001,843,784 | ---- | C] () -- C:\WINDOWS\System32\igklg400.dll [2008/08/14 01:23:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll [2008/08/14 01:23:56 | 000,104,636 | ---- | C] () -- C:\WINDOWS\System32\igmedcompkrn.dll [2008/08/02 03:40:12 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll [2007/12/21 16:46:32 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll [2007/06/27 00:32:29 | 000,180,616 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2007/06/26 23:39:29 | 000,000,280 | ---- | C] () -- C:\WINDOWS\System32\epoPGPsdk.dll.sig [2007/06/26 23:01:07 | 000,000,200 | ---- | C] () -- C:\WINDOWS\WININIT.INI [2007/01/07 20:22:11 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2007/01/07 20:18:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007/01/07 18:48:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2007/01/07 04:12:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2007/01/07 04:08:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2007/01/07 04:02:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2007/01/07 04:01:43 | 000,333,872 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2005/07/22 21:30:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll [2004/08/03 23:12:38 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2004/08/02 12:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2001/08/31 22:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001/08/31 22:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001/08/18 19:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001/08/18 19:00:00 | 000,502,740 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2001/08/18 19:00:00 | 000,476,016 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001/08/18 19:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001/08/18 19:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2001/08/18 19:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001/08/18 19:00:00 | 000,102,358 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2001/08/18 19:00:00 | 000,083,780 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001/08/18 19:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001/08/18 19:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2001/08/18 19:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001/08/18 19:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [1997/11/10 15:18:48 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll ========== LOP Check ========== [2007/01/08 02:44:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2009/08/11 17:10:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Uninstall [2010/05/21 11:41:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic [2010/12/08 16:00:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2011/04/26 02:42:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET ========== Purity Check ========== < End of report > Code:
ATTFilter O4 - HKU\.DEFAULT..\Run: [4Y3Y0C3A9V3U1U6IMQRPCPMS] C:\Recycle.Bi\A96C465EBB6.exe (Owed Grant) Schritt 2: Statt des bildschirmfüllenden Bundespolizei-Fensters erscheint nun eine Message-Box "Can't create web browser". Nach deren Wegklicken kann über Ctrl-Alt-Del der Task-Manager gestartet werden. Der Versuch, den Explorer zu starten, schlägt fehlt - der Prozess ist nach Sekundenbruchteilen wieder beendet. Von einem USB-Stick wird die aktuelle Download-Version von MBAM installiert und ein Scan durchgeführt: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7035 Windows 5.1.2600 Service Pack 3, v.3311 Internet Explorer 7.0.5730.11 12.08.2011 19:19:23 mbam-log-2011-08-12 (19-19-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 224362 Laufzeit: 25 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\default\Anwendungsdaten\jashla.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\default\anwendungsdaten\jashla.exe (Trojan.Agent) -> Quarantined and deleted successfully. Schritt 3: Da bei diesem MBAM-Scan die verdächtige Datei im umbenannten "C:\NoRecycle.Bin"-Ordner nicht entdeckt wurde, wird der Laptop in einen anderen Raum gebracht und nach Herstellung einer LAN-Verbindung die MBAM-Signaturen aktualisiert. Ein erneuter Scan ergibt: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7446 Windows 5.1.2600 Service Pack 3, v.3311 Internet Explorer 7.0.5730.11 12.08.2011 19:54:49 mbam-log-2011-08-12 (19-54-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 229630 Laufzeit: 23 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\norecycle.bin\a96c465ebb6.exe (Rootkit.0Access.XGen) -> Quarantined and deleted successfully. Schritt 4: Was bringt ein Scan mit GMER? Nicht viel (Windows läuft dabei im abgesicherten Modus, auch hier ohne Explorer): Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-08-12 22:51:40 Windows 5.1.2600 Service Pack 3, v.3311 Harddisk0\DR0 -> \Device\Scsi\JRAID1Port4Path0Target0Lun0 WDC_WD25 rev. Running: 31uco0xv.exe; Driver: C:\DOKUME~1\default\LOKALE~1\Temp\pxldapog.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d02140 Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d02140 (not active ControlSet) Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 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 ---- EOF - GMER 1.0.15 ---- Als letzte Maßnahme ersetze ich C:\Windows\explorer.exe durch eine Originaldatei von einem sauberen XP-Rechner - ebenfalls ohne Erfolg. So, nun bin ich mit meinem Latein am Ende Könnt Ihr mir weiterhelfen? Viele Grüße von Gerhard |
17.08.2011, 10:55 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehrZitat:
__________________ |
17.08.2011, 14:15 | #3 |
| Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr Hallo Arne,
__________________da es sich um den Laptop eines Bekannten handelt, kann ich zu dessen Verwendung natürlich nur Vermutungen anstellen... im Zweifelsfall also "Ja". Viele Grüße von Gerhard |
17.08.2011, 14:55 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr Frag ihn mal. Bei Onlinebanking sollte man generell sehr vorsichtig sein und überlegen ob man den riskanten Kompromiss einer Bereinigung wirklich eingehen will. Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2011, 15:06 | #5 |
| Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr OK, werde ich machen - und ihn bei der Gelegenheit gleich dazu drängen, statt XP wieder Vista zu installieren (mit dem der Laptop ursprünglich geliefert wurde ). Viele Grüße und nochmal |
Themen zu Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr |
.dll, 0x00000001, antivirus, bho, browser, bundespolizei-trojaner, desktop, einstellungen, error, eset nod32, explorer, firefox, fontcache, format, google earth, helper, hijack.shell, infizierte, kein explorer, lan-verbindung, logfile, maßnahme, monitor, neustart, object, plug-in, prozess, realtek, registry, safer networking, software, starten, task-manager, temp, version=1.0, webcheck, windows, windows xp, windows-explorer, xp-rechner, zahlung |