Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA Virus - Windows 7 - OTLPE Scan

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2011, 16:28   #1
wolfi49
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



Hallo zusammen!

Habe mir wohl auch den BKA Virus eingefangen und bräuchte zum entfernen eure Hilfe.

Konnte mein Betriebssystem starten und eine suspekte Datei im Taskmanager beenden, danach den per OTLPE den Scan durchführen.

Hier das Ergebnis:

Zitat:
OTL logfile created on: 21.10.2011 17:21:28 - Run
OTLPE by OldTimer - Version 3.1.46.0 Folder = C:\
Windows 7 Professional (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 74,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 463,75 Gb Total Space | 389,50 Gb Free Space | 83,99% Space Free | Partition Type: NTFS
Drive D: | 465,75 Gb Total Space | 386,93 Gb Free Space | 83,08% Space Free | Partition Type: NTFS
Drive H: | 496,59 Mb Total Space | 261,75 Mb Free Space | 52,71% Space Free | Partition Type: FAT

Computer Name: STATION | User Name: Admin
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - [2011.06.28 23:58:16 | 000,428,200 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.06.28 23:58:16 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.12 11:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2011.06.11 20:20:49 | 000,403,240 | ---- | M] (Valve Corporation) [On_Demand] -- C:\Program Files\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2011.04.28 07:18:58 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.10.28 12:13:30 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand] -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2010.06.07 17:05:06 | 000,240,232 | ---- | M] (NVIDIA Corporation) [Auto] -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2010.03.29 17:13:26 | 000,602,624 | ---- | M] (Hauppauge Computer Works) [Auto] -- C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe -- (HauppaugeTVServer)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - File not found [Kernel | On_Demand] -- -- (catchme)
DRV - [2011.06.28 23:58:16 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.06.28 23:58:16 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.08.24 19:31:02 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2010.08.24 19:30:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2010.06.08 01:57:00 | 010,888,168 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.03.31 13:11:36 | 000,582,400 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\emBDA.sys -- (USB28xxBGA)
DRV - [2010.03.31 13:11:36 | 000,136,064 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\emOEM.sys -- (USB28xxOEM)
DRV - [2009.07.14 03:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)
DRV - [2009.07.14 03:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 03:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)
DRV - [2009.07.14 01:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 01:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 00:02:46 | 000,047,104 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\l160x86.sys -- (AtcL001)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2004.08.13 09:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\drivers\ASACPI.sys -- (MTsensor)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 45 9F F4 6C DF 2C CC 01 [binary data]
IE - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.1
FF - prefs.js..extensions.enabledItems: {184AA5E6-741D-464a-820E-94B3ABC2F3B4}:1.0
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.12.2.100006


FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.01.24 23:04:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.23\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.10.19 20:29:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.23\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.10.19 20:29:46 | 000,000,000 | ---D | M]

[2010.07.11 16:50:10 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions
[2011.10.19 18:39:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\k38vv0su.default\extensions
[2010.08.11 01:48:21 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\k38vv0su.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.09.22 17:36:34 | 000,000,000 | ---D | M] ("Avira SearchFree Toolbar plus WebGuard") -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\k38vv0su.default\extensions\toolbar@ask.com
[2011.01.25 19:59:31 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.12.28 01:54:28 | 000,000,000 | ---D | M] (Skype extension) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2011.01.25 19:59:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.28 01:54:28 | 000,000,000 | ---D | M] (Skype extension) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{AB2CE124-6272-4B12-94A9-7303C7397BD1}
[2011.01.25 19:59:31 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.24 23:04:56 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMDATA\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
[2011.06.11 20:11:15 | 000,000,000 | ---D | M] (Java String Helper) -- C:\USERS\ADMIN\APPDATA\ROAMING\5017
[2011.01.25 19:59:21 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.11.22 06:36:22 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.11.22 06:36:23 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.11.22 06:36:23 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.11.22 06:36:23 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.11.22 06:36:23 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.06.15 23:14:20 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [OpwareSE4] C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [avupdate] C:\Users\Admin\AppData\Roaming\mahmud.exe (Radialpoint Inc.)
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [ICQ] C:\Program Files\ICQ7.0\ICQ.exe (ICQ, LLC.)
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [Steam] C:\Program Files\Steam\steam.exe (Valve Corporation)
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [xufay.exe] C:\Users\Admin\AppData\Roaming\Kavuku\xufay.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll - C:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.10.21 17:07:43 | 000,000,000 | --SD | C] -- C:\ComboFix
[2011.10.19 20:27:27 | 000,187,392 | ---- | C] (Radialpoint Inc.) -- C:\Users\Admin\AppData\Roaming\mahmud.exe
[2011.10.14 03:01:05 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.10.13 17:38:33 | 000,465,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\psisdecd.dll
[2011.10.13 17:38:33 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSNP.ax
[2011.10.13 17:38:33 | 000,075,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\psisrndr.ax
[2011.10.13 17:38:33 | 000,072,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Mpeg2Data.ax
[2011.10.13 17:38:33 | 000,059,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSDvbNP.ax
[2011.10.13 17:38:30 | 002,332,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2011.10.13 17:38:19 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2011.10.13 17:38:19 | 000,599,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2011.10.13 17:38:19 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2011.10.13 17:38:19 | 000,185,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2011.10.13 17:38:19 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2011.10.13 17:38:18 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2011.10.13 17:38:18 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec
[2011.10.13 17:38:18 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2011.10.13 17:38:18 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2011.10.13 17:38:18 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2011.10.13 17:38:18 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll
[2011.10.13 17:38:18 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[1 C:\Users\Admin\AppData\Roaming\*.tmp files -> C:\Users\Admin\AppData\Roaming\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.10.21 17:20:17 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.10.21 17:20:12 | 2616,549,376 | -HS- | M] () -- C:\hiberfil.sys
[2011.10.21 17:10:03 | 000,667,906 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.10.21 17:10:03 | 000,627,482 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.10.21 17:10:03 | 000,135,574 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.10.21 17:10:03 | 000,111,060 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.10.19 20:38:42 | 000,018,208 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.10.19 20:38:42 | 000,018,208 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.10.19 20:27:27 | 000,187,392 | ---- | M] (Radialpoint Inc.) -- C:\Users\Admin\AppData\Roaming\mahmud.exe
[2011.10.14 03:19:56 | 000,406,584 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.10.14 03:03:20 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
[2011.10.01 04:59:14 | 001,638,912 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[1 C:\Users\Admin\AppData\Roaming\*.tmp files -> C:\Users\Admin\AppData\Roaming\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.04.08 07:10:04 | 000,000,120 | ---- | C] () -- C:\Users\Admin\AppData\Local\Dducocelozuge.dat
[2011.04.08 07:10:04 | 000,000,000 | ---- | C] () -- C:\Users\Admin\AppData\Local\Jzagigejimi.bin
[2011.03.30 17:55:16 | 000,000,209 | ---- | C] () -- C:\Windows\ODBCINST.INI
[2011.03.30 17:55:16 | 000,000,135 | ---- | C] () -- C:\Windows\ODBC.INI
[2011.03.30 17:55:05 | 000,142,337 | ---- | C] () -- C:\Windows\System32\Wait.exe
[2011.03.30 17:54:10 | 000,002,212 | ---- | C] () -- C:\Windows\HCWPNP.INI
[2011.03.01 06:07:12 | 000,008,704 | ---- | C] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.28 01:58:46 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.10.11 12:09:17 | 000,000,416 | ---- | C] () -- C:\Windows\MAXLINK.INI
[2010.08.11 01:46:50 | 000,000,093 | ---- | C] () -- C:\Users\Admin\AppData\Local\fusioncache.dat
[2010.08.08 00:02:09 | 000,165,376 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2010.08.08 00:02:07 | 003,200,512 | ---- | C] () -- C:\Windows\System32\x264vfw.dll
[2010.08.08 00:02:06 | 000,790,528 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2010.08.08 00:02:06 | 000,134,144 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2010.08.08 00:02:05 | 000,108,032 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2010.07.27 16:04:22 | 000,014,338 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
[2010.07.25 19:19:07 | 000,003,072 | ---- | C] () -- C:\Windows\System32\CNCFLbNL.DLL
[2010.07.11 16:49:56 | 000,137,200 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2010.07.11 16:49:56 | 000,022,328 | ---- | C] () -- C:\Users\Admin\AppData\Roaming\PnkBstrK.sys
[2010.07.11 16:49:30 | 000,215,152 | ---- | C] () -- C:\Windows\System32\PnkBstrB.exe
[2010.07.11 16:49:29 | 000,682,280 | ---- | C] () -- C:\Windows\System32\pbsvc.exe
[2010.07.11 16:49:29 | 000,075,064 | ---- | C] () -- C:\Windows\System32\PnkBstrA.exe
[2009.07.14 10:47:43 | 000,667,906 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.07.14 10:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.07.14 10:47:43 | 000,135,574 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.07.14 10:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,406,584 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,627,482 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,111,060 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006.10.11 13:33:58 | 000,010,288 | ---- | C] () -- C:\Windows\System32\drivers\ASUSHWIO.SYS
[2004.08.13 09:56:20 | 000,005,810 | ---- | C] () -- C:\Windows\System32\drivers\ASACPI.sys

========== LOP Check ==========

[2011.10.10 09:13:48 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\.minecraft
[2011.04.08 07:08:45 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\42B355C318742F19617FD32B7F5062E7
[2011.06.08 12:36:20 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\5016
[2011.06.11 20:11:15 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\5017
[2011.03.17 22:43:24 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\BitComet
[2011.07.27 20:19:43 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Canon
[2011.08.13 14:41:21 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\DVDVideoSoft
[2011.08.13 14:41:14 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.10.19 20:40:41 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\ICQ
[2011.02.26 04:37:52 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\IrfanView
[2011.09.20 19:58:47 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Kavuku
[2011.06.08 12:36:03 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\kock
[2011.01.11 13:05:38 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Leadertech
[2011.10.19 20:31:29 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Loxy
[2010.10.11 12:09:08 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\ScanSoft
[2010.10.19 17:30:21 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\TS3Client
[2011.06.09 12:40:42 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\UAs
[2011.06.09 12:41:45 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\xmldm
[2010.07.11 15:53:18 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2010.07.25 19:19:21 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonBJ
[2010.10.11 11:58:43 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonEPP
[2010.10.11 11:58:43 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonIJEPPEX2
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2010.07.11 15:53:18 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2010.07.11 15:53:18 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2010.10.11 12:09:06 | 000,000,000 | ---D | M] -- C:\ProgramData\ScanSoft
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2010.07.11 15:53:18 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2010.07.11 15:53:18 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011.07.05 23:36:28 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========


< End of report >
Vorab Danke für eure Hilfe und den super Support hier!

Alt 21.10.2011, 19:14   #2
markusg
/// Malware-holic
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:
Code:
ATTFilter
:OTL
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [xufay.exe] C:\Users\Admin\AppData\Roaming\Kavuku\xufay.exe ()
O4 - HKU\S-1-5-21-1114470061-3340641726-2702174576-1000..\Run: [avupdate] C:\Users\Admin\AppData\Roaming\mahmud.exe (Radialpoint Inc.)
:Files
C:\Users\Admin\AppData\Roaming\Kavuku
C:\Users\Admin\AppData\Roaming\mahmud.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 22.10.2011, 09:56   #3
wolfi49
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



Hallo!

Fix lief entsprechend durch, inzwischen die Moved Files.rar geupt!
__________________

Geändert von wolfi49 (22.10.2011 um 10:45 Uhr)

Alt 22.10.2011, 12:02   #4
markusg
/// Malware-holic
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



hi
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.10.2011, 12:27   #5
wolfi49
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



Hallo!

Nein, weder Online-Banking noch Shopping o.ä. Wichtiges!


Alt 22.10.2011, 13:03   #6
markusg
/// Malware-holic
 
BKA Virus - Windows 7 - OTLPE Scan - Standard

BKA Virus - Windows 7 - OTLPE Scan



also, ich sehe das du vor 4 monaten etwa schon das selbe problem hattest. auch wenn du kein onlinebanking mehr machst, ist dieses system nicht mehr vertrauenswürdig, ich würd es, nach daten sicherung, neu aufsetzen und dann sichern wir es gemeinsam ab.
__________________
--> BKA Virus - Windows 7 - OTLPE Scan

Antwort

Themen zu BKA Virus - Windows 7 - OTLPE Scan
antivir, autorun, avira, avira searchfree toolbar, bho, converter, defender, desktop, document, entfernen, excel.exe, firefox, format, helper, langs, logfile, mozilla, mp3, nodrives, nvlddmkm.sys, object, realtek, registry, scan, sched.exe, senden, software, starten, studio, super, taskmanager, usb, virus, windows



Ähnliche Themen: BKA Virus - Windows 7 - OTLPE Scan


  1. OTLPE Scan gemacht, was nun? (AKM-Trojaner?)
    Log-Analyse und Auswertung - 08.02.2015 (15)
  2. Bundes Trojaner, abgesicherter Modus geht nicht, OTLPE Scan durchgefuehrt
    Log-Analyse und Auswertung - 17.02.2014 (9)
  3. Windows XP - Befall von BKA / Fedpol Virus - Hilfe bei der Auswertung OTLpe
    Log-Analyse und Auswertung - 16.02.2014 (3)
  4. BKA Trojaner - OTLPE Fix scan - kann mir jemand diese Datei erstellen?Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (5)
  5. Bundes Trojaner, abgesicherter Modus geht nicht, OTLPE Scan durchgefuehrt
    Log-Analyse und Auswertung - 04.11.2013 (3)
  6. WinXP - weißer Startscreen (Maus da) - abgesicherter Modus nicht möglich, startet neu - OTLpe Scan ok, was nun
    Log-Analyse und Auswertung - 29.05.2013 (13)
  7. GVU Trojaner - OTLPE scan crashes bei firefox settings
    Plagegeister aller Art und deren Bekämpfung - 06.01.2013 (30)
  8. Auswertung von OTLPE Scan
    Log-Analyse und Auswertung - 05.07.2012 (11)
  9. Verschlüsselungstrojaner - OTLPE Scan erfolgreich und OTL-Datei, weiteres Vorgehen?
    Log-Analyse und Auswertung - 08.06.2012 (5)
  10. Windows Verschlüsslungtrojaner Win 7 nach OTLPE Scan
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (3)
  11. Computer direkt nach Hochfahren "gesperrt", 50€ zahlen etc., OTLPE Scan
    Log-Analyse und Auswertung - 12.05.2012 (7)
  12. OTLPE scan durchgeführt wie gehts weiter
    Log-Analyse und Auswertung - 04.05.2012 (5)
  13. Gema-Trojaner OTLPE bleibt beim Scan bei "Getting Folder structure" stehen
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (13)
  14. MAYDAY - Windows 7 UCASH - mit Variante "Cannot display the webpage". OTLPE scan läuft
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (3)
  15. BKA Trojaner - OTLPE Fix scan - wie kann ich diese Datei erstellen
    Log-Analyse und Auswertung - 16.11.2011 (33)
  16. BKA Bundespolizei Trojaner OTLPE Scan
    Log-Analyse und Auswertung - 17.08.2011 (1)
  17. E-SCAN BESTUCKT MIT VIRUS und MALWAREN__VORSICHT BEI E-SCAN eScan Anti-Virus (AV)!!!!
    Plagegeister aller Art und deren Bekämpfung - 31.10.2005 (3)

Zum Thema BKA Virus - Windows 7 - OTLPE Scan - Hallo zusammen! Habe mir wohl auch den BKA Virus eingefangen und bräuchte zum entfernen eure Hilfe. Konnte mein Betriebssystem starten und eine suspekte Datei im Taskmanager beenden, danach den per - BKA Virus - Windows 7 - OTLPE Scan...
Archiv
Du betrachtest: BKA Virus - Windows 7 - OTLPE Scan auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.