Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.01.2012, 15:55   #1
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



Hey,

auch mich hat es leider erwischt und ich kann dies hier nur über den abgesicherten Modus schreiben.

Ich behalte mir vor, nicht einfach mit irgendwelchen Scans anzufangen und hoffe, dass mir wer hier schnell helfen kann, um dieses Vieh wieder los zu werden. Möglichst ohne Formatierung Grüße

Alt 15.01.2012, 17:18   #2
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 15.01.2012, 18:22   #3
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



Hallo und danke erstmal. Es ist leider etwas sehr schwierig an meinem Laptop im abgesicherten Modus zu arbeiten, weil ich die ganze Zeit vollgemüllt werden von Scareware (Trojan-BNK.Win32.Keylogger.gen sowie alle Meldungen von Windows 7 Antivirus 2012).

Hier OTL:
Code:
ATTFilter
OTL logfile created on: 15.01.2012 18:55:26 - Run 3
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Users\XXX\Desktop
 Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,54 Gb Available Physical Memory | 84,73% Memory free
5,99 Gb Paging File | 5,57 Gb Available in Paging File | 92,99% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,88 Gb Total Space | 124,12 Gb Free Space | 53,30% Space Free | Partition Type: NTFS
 
Computer Name: PC | User Name: XXX | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Christoph\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Users\Christoph\AppData\Local\yec.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\HelpPane.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\WinRAR\RarExt.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (avast! Antivirus) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)
SRV - (tvnserver) -- C:\Program Files\TightVNC\tvnserver.exe (GlavSoft LLC.)
SRV - (IAStorDataMgrSvc) Intel(R) -- C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation)
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)
SRV - (RegSrvc) Intel(R) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)
SRV - (STacSV) -- C:\Programme\IDT\WDM\stacsv.exe (IDT, Inc.)
SRV - (npggsvc) -- C:\Windows\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (ServiceLayer) -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (AESTFilters) -- C:\Programme\IDT\WDM\AEstSrv.exe (Andrea Electronics Corporation)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (OpenSSHd) -- C:\Programme\OpenSSH\bin\cygrunsrv.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (hpdskflt) -- C:\Windows\system32\DRIVERS\hpdskflt.sys (Hewlett-Packard Company)
DRV - (Accelerometer) -- C:\Windows\System32\drivers\Accelerometer.sys (Hewlett-Packard Company)
DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corporation)
DRV - (NETwNs32) ___ Intel(R) -- C:\Windows\System32\drivers\NETwNs32.sys (Intel Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)
DRV - (SCR3XX2K) -- C:\Windows\System32\drivers\SCR3XX2K.sys (SCM Microsystems Inc.)
DRV - (NETw5s32) Intel(R) -- C:\Windows\System32\drivers\NETw5s32.sys (Intel Corporation)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (UsbserFilt) -- C:\Windows\System32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\Windows\System32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\Windows\System32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\Windows\System32\drivers\ccdcmb.sys (Nokia)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (johci) -- C:\Windows\system32\DRIVERS\johci.sys (JMicron )
DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation)
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation)
DRV - (tdx) -- C:\Windows\System32\drivers\tdx.sys ()
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (RTL2832U_IRHID) -- C:\Windows\System32\drivers\RTL2832U_IRHID.sys (Realtek)
DRV - (RTL2832UUSB) -- C:\Windows\System32\drivers\RTL2832UUSB.sys (REALTEK SEMICONDUCTOR Corp.)
DRV - (RTL2832UBDA) -- C:\Windows\System32\drivers\RTL2832UBDA.sys (REALTEK SEMICONDUCTOR Corp.)
DRV - (enecir) -- C:\Windows\System32\drivers\enecir.sys (ENE TECHNOLOGY INC.)
DRV - (iscFlash) -- C:\swsetup\sp45138\iscflash.sys (Insyde Software)
DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (pccsmcfd) -- C:\Windows\System32\drivers\pccsmcfd.sys (Nokia)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Afc) -- C:\Windows\System32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (speedfan) -- C:\Windows\system32\speedfan.sys (Windows (R) 2000 DDK provider)
DRV - (DgiVecp) -- C:\Windows\System32\drivers\DGIVECP.SYS (DeviceGuys, Inc.)
DRV - (giveio) -- C:\Windows\system32\giveio.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 131.247.2.247:3124
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll (TVU networks)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.12.20 14:03:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.16 19:11:59 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.01.07 18:43:27 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\finder@meingutscheincode.de: C:\Program Files\Mein Gutscheincode Finder\Firefox
 
[2010.11.30 16:32:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Extensions
[2011.04.29 14:14:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions
[2011.01.22 15:26:22 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions\firefox@tvunetworks.com
[2010.12.05 15:41:33 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions\vshare@toolbar
[2011.12.27 12:27:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\yqsjzsks.Christoph\extensions
[2010.12.05 15:29:57 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\yqsjzsks.Christoph\extensions\vshare@toolbar
[2011.07.20 20:31:37 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.06 21:46:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.12 09:24:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.19 11:06:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2010.11.06 21:46:24 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.08.16 19:11:59 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.03.27 18:06:04 | 000,067,032 | ---- | M] (Adobe Systems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npContribute.dll
[2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2010.01.12 21:03:50 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2011.09.14 14:13:23 | 000,001,400 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.14 14:13:23 | 000,001,679 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.09.14 14:13:23 | 000,000,947 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.14 14:13:23 | 000,006,818 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.08.25 15:39:38 | 000,001,272 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.14 14:13:23 | 000,000,903 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.13 11:23:00 | 000,000,100 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O1 - Hosts: ਍
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll ()
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (WOT Helper) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programme\WOT\WOT.dll ()
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (WOT) - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programme\WOT\WOT.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (WOT) - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - C:\Programme\WOT\WOT.dll ()
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [IAStorIcon] C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)
O4 - HKLM..\Run: [mspd] C:\Windows\System32\mspd.exe ()
O4 - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKCU..\Run: [Smad] C:\Users\Christoph\AppData\Local\SanctionedMedia\Smad\Smad.exe (SanctionedMedia)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: QuickLaunchEnabled = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Programme\ICQ7.6\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Programme\ICQ7.6\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: kino.to ([]https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: web.de ([www] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {1851174C-97BD-4217-A0CC-E908F60D5B7A} https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB (Hewlett-Packard Online Support Services)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.4.24.0.cab (SysInfo Class)
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} hxxp://3dlifeplayer.dl.3dvia.com/player/install/3DVIA_player_installer.exe (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.4.26.0.cab (SysInfo Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7325BC76-0D62-4F0E-99B7-BE30FE7A5D0E}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Programme\vShare\vshare_toolbar.dll ()
O18 - Protocol\Handler\wot {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programme\WOT\WOT.dll ()
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) -C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...exe [@ = sxie] -- "C:\Users\Christoph\AppData\Local\yec.exe" -a "%1" %* (Microsoft Corporation)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2D46B6DC-2207-486B-B523-A557E6D54B47} - C:\Windows\system32\cmd.exe /D /C start C:\Windows\system32\ie4uinit.exe -ClearIconCache
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^phase-6 Reminder.lnk - C:\Programme\phase-6\phase-6\reminder\reminder.exe - (phase-6)
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TMMonitor.lnk - C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe - (ArcSoft, Inc.)
MsConfig - StartUpFolder: C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^klickTel OEM 2008 - Schnellstarter.lnk -  - File not found
MsConfig - StartUpFolder: C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE - (Microsoft Corporation)
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AdobeAAMUpdater-1.0 - hkey= - key= - C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AdobeCS5ServiceManager - hkey= - key= -  File not found
MsConfig - StartUpReg: ArcSoft Connection Service - hkey= - key= -  File not found
MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
MsConfig - StartUpReg: FILSHtray - hkey= - key= - C:\Program Files\YouTube_Video_Downloader\FILSHtray.exe (FILSH Media GmbH)
MsConfig - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Program Files\iTunes\iTunesHelper.exe (Apple Inc.)
MsConfig - StartUpReg: LightScribe Control Panel - hkey= - key= - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
MsConfig - StartUpReg: NokiaMServer - hkey= - key= - C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe (Nokia)
MsConfig - StartUpReg: NokiaOviSuite2 - hkey= - key= - C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe (Nokia)
MsConfig - StartUpReg: PDFPrint - hkey= - key= - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
MsConfig - StartUpReg: PDVD8LanguageShortcut - hkey= - key= - C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe ()
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Program Files\QuickTime\QTTask.exe (Apple Inc.)
MsConfig - StartUpReg: RemoteControl8 - hkey= - key= - C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (Cyberlink Corp.)
MsConfig - StartUpReg: Samsung Common SM - hkey= - key= - C:\Windows\Samsung\ComSMMgr\ssmmgr.exe (Samsung Electronics.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Program Files\Common Files\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: SwitchBoard - hkey= - key= -  File not found
MsConfig - StartUpReg: tvncontrol - hkey= - key= - C:\Program Files\TightVNC\tvnserver.exe (GlavSoft LLC.)
MsConfig - StartUpReg: uTorrent - hkey= - key= - C:\Program Files\uTorrent\uTorrent.exe (BitTorrent, Inc.)
MsConfig - StartUpReg: VeohPlugin - hkey= - key= -  File not found
MsConfig - StartUpReg: XboxStat - hkey= - key= - C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe (Microsoft Corporation)
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.15 18:50:56 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe
[2012.01.15 16:57:35 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\SanctionedMedia
[2012.01.15 16:57:34 | 000,286,208 | ---- | C] (Microsoft Corporation) -- C:\Users\Christoph\AppData\Local\yec.exe
[2012.01.15 16:45:54 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2012.01.14 22:25:39 | 000,000,000 | ---D | C] -- C:\Windows\XSxS
[2012.01.14 22:25:39 | 000,000,000 | ---D | C] -- C:\Program Files\Xenocode
[2012.01.14 22:23:30 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Portable CorelDRAW Graphic Suite 12-12.0.0.458
[2012.01.13 20:15:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenSSH for Windows
[2012.01.13 20:14:23 | 000,000,000 | ---D | C] -- C:\Program Files\OpenSSH
[2012.01.09 20:15:31 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\redsn0w
[2012.01.09 00:37:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2012.01.09 00:36:38 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2012.01.09 00:36:37 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2012.01.09 00:34:35 | 000,000,000 | ---D | C] -- C:\Program Files\Bonjour
[2012.01.09 00:27:43 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2012.01.07 18:26:49 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.12.24 15:12:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashMute
[2011.12.24 15:12:30 | 000,000,000 | ---D | C] -- C:\Program Files\FlashMute
[2011.12.20 14:04:17 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\DDMSettings
[2011.12.20 13:48:05 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\GetRightToGo
[2011.12.20 13:48:05 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\Downloads
[2011.12.19 12:13:22 | 000,000,000 | ---D | C] -- C:\ProgramData\UUdb
[2011.12.19 12:13:22 | 000,000,000 | ---D | C] -- C:\Program Files\1und1Softwareaktualisierung
[2011.12.19 12:13:21 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH
[2011.12.18 11:55:06 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\FILSHtray
[2011.12.18 11:55:06 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\FILSH_Media_GmbH
[2011.12.18 11:55:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Video Downloader
[2011.12.18 11:55:02 | 000,000,000 | ---D | C] -- C:\Program Files\YouTube_Video_Downloader
[2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Softwrap
[2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Fonts
[2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Config
[2011.12.17 22:35:12 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\ArcSoft ToGo
[2011.12.17 22:34:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArcSoft TotalMedia 3
[2011.12.17 22:33:20 | 000,212,480 | ---- | C] (Eastman Kodak) -- C:\Windows\PCDLIB32.DLL
[2011.12.17 22:33:20 | 000,000,000 | ---D | C] -- C:\Program Files\ArcSoft
[2011.12.17 21:39:25 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\ArcSoft
[2011.12.17 21:06:01 | 000,037,280 | ---- | C] (Realtek) -- C:\Windows\System32\drivers\RTL2832U_IRHID.sys
[2011.12.17 21:05:56 | 000,000,000 | ---D | C] -- C:\Program Files\NewSoft
[2011.12.17 21:05:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\REALTEK DTV USB DEVICE
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.15 18:51:01 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe
[2012.01.15 18:43:32 | 000,009,343 | ---- | M] () -- C:\Users\Christoph\AppData\Local\5f87db78
[2012.01.15 18:43:32 | 000,009,244 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\6a1641f8
[2012.01.15 18:43:32 | 000,009,217 | ---- | M] () -- C:\ProgramData\fb6df46a
[2012.01.15 18:42:52 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.01.15 18:42:46 | 2413,719,552 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.15 13:28:55 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.01.15 13:28:55 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.01.15 13:28:55 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.01.15 13:28:55 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.01.14 15:35:41 | 000,000,600 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\winscp.rnd
[2012.01.14 15:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.01.14 15:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.01.11 21:51:25 | 414,467,058 | ---- | M] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa
[2012.01.09 00:37:17 | 000,001,753 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[2011.12.17 22:38:52 | 000,002,429 | ---- | M] () -- C:\Users\Public\Documents\Global.sw2
[2011.12.17 22:38:46 | 000,000,000 | -H-- | M] () -- C:\Windows\SwSys2.bmp
[2011.12.17 22:38:46 | 000,000,000 | -H-- | M] () -- C:\Windows\SwSys1.bmp
 
========== Files Created - No Company Name ==========
 
[2012.01.15 16:57:34 | 000,009,343 | ---- | C] () -- C:\Users\Christoph\AppData\Local\5f87db78
[2012.01.15 16:57:34 | 000,009,244 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\6a1641f8
[2012.01.15 16:57:34 | 000,009,217 | ---- | C] () -- C:\ProgramData\fb6df46a
[2012.01.11 21:51:16 | 414,467,058 | ---- | C] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa
[2012.01.09 00:37:17 | 000,001,753 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2011.12.17 22:38:46 | 000,002,429 | ---- | C] () -- C:\Users\Public\Documents\Global.sw2
[2011.12.17 22:38:46 | 000,000,000 | -H-- | C] () -- C:\Windows\SwSys2.bmp
[2011.12.17 22:38:46 | 000,000,000 | -H-- | C] () -- C:\Windows\SwSys1.bmp
[2011.12.17 21:05:56 | 000,127,085 | ---- | C] () -- C:\Windows\System32\RTKFMSOURCE.dll
[2011.12.17 18:26:54 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk
[2011.10.23 10:57:52 | 000,000,600 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\winscp.rnd
[2011.02.27 08:54:11 | 000,389,632 | ---- | C] () -- C:\Windows\System32\mspd.exe
[2010.12.01 13:05:49 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe
[2010.12.01 13:05:48 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2010.12.01 13:05:48 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2010.12.01 13:05:48 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2010.12.01 13:05:48 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2010.09.17 19:07:30 | 000,000,880 | ---- | C] () -- C:\Windows\HBCIKRNL.INI
[2010.08.21 14:58:32 | 000,000,017 | ---- | C] () -- C:\Windows\ktel.ini
[2010.07.25 20:41:46 | 000,003,584 | ---- | C] () -- C:\Users\Christoph\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.07 17:47:34 | 000,258,142 | ---- | C] () -- C:\Windows\System32\nvcoproc.bin
[2010.04.19 19:02:47 | 000,000,000 | ---- | C] () -- C:\Windows\iSnooker.INI
[2010.04.16 22:59:09 | 000,017,408 | ---- | C] () -- C:\Users\Christoph\AppData\Local\WebpageIcons.db
[2009.12.03 08:27:30 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.09.01 04:31:56 | 000,022,723 | ---- | C] () -- C:\Windows\System32\ssp2ml3.dll
[2009.07.14 09:47:43 | 000,653,928 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.07.14 09:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.07.14 09:47:43 | 000,129,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.07.14 09:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.14 05:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 05:33:53 | 003,763,520 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 03:05:48 | 000,615,810 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 03:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 03:05:48 | 000,106,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 03:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 03:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 03:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 01:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 00:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:12:11 | 000,074,240 | ---- | C] () -- C:\Windows\System32\drivers\tdx.sys
[2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2008.01.14 16:47:06 | 000,099,712 | ---- | C] () -- C:\Windows\HPBroker.dll
[2007.01.16 12:25:48 | 000,022,723 | ---- | C] () -- C:\Windows\System32\clpa1l3.dll
[2006.03.09 08:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2005.08.26 14:28:34 | 000,143,360 | ---- | C] () -- C:\Windows\unzip.exe
[2005.08.26 14:28:20 | 000,024,576 | ---- | C] () -- C:\Windows\shortcut.exe
[2005.08.26 14:27:58 | 000,045,056 | ---- | C] () -- C:\Windows\devenum.exe
[1996.04.03 20:33:26 | 000,005,248 | ---- | C] () -- C:\Windows\System32\giveio.sys
 
========== LOP Check ==========
 
[2010.10.28 12:28:04 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\.purple
[2011.12.19 12:13:21 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH
[2011.09.26 12:30:48 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\DAEMON Tools Lite
[2011.08.24 18:46:12 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\DesktopIconForAmazon
[2011.11.11 16:16:48 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Dropbox
[2010.08.27 01:13:39 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Easeware
[2011.12.20 13:48:30 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\GetRightToGo
[2010.10.28 12:25:08 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\gtk-2.0
[2012.01.15 12:46:08 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\ICQ
[2010.08.21 14:01:44 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\klickTel
[2010.10.28 12:13:11 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Miranda
[2010.07.12 14:23:46 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Nokia
[2011.08.25 15:39:33 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\OCS
[2011.08.25 15:39:38 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Opera
[2010.07.12 14:28:10 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\PC Suite
[2012.01.09 20:20:43 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\redsn0w
[2010.05.04 12:03:54 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\SharePod
[2010.04.19 17:19:37 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\StreamTorrent
[2011.10.22 20:08:28 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\TightVNC
[2012.01.08 01:10:11 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\uTorrent
[2011.08.24 18:08:04 | 000,000,414 | ---- | M] () -- C:\Windows\Tasks\DriverEasy Scheduled Scan.job
[2011.11.16 16:40:11 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.12.03 21:44:14 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2010.04.16 18:51:23 | 000,000,000 | ---D | M] -- C:\Boot
[2010.12.03 21:37:19 | 000,000,000 | ---D | M] -- C:\ComboFix
[2010.12.03 21:44:44 | 000,000,000 | ---D | M] -- C:\confi
[2012.01.11 22:43:31 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2010.08.27 01:37:11 | 000,000,000 | ---D | M] -- C:\dell
[2010.04.16 17:56:54 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.11.30 13:15:05 | 000,000,000 | ---D | M] -- C:\Drivers
[2010.04.19 18:41:34 | 000,000,000 | ---D | M] -- C:\Games
[2010.04.16 18:41:32 | 000,000,000 | ---D | M] -- C:\HP
[2010.04.16 18:39:24 | 000,000,000 | ---D | M] -- C:\Intel
[2010.04.16 22:38:55 | 000,000,000 | R--D | M] -- C:\MSOCache
[2010.06.15 11:15:36 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2009.07.14 03:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2012.01.14 22:25:39 | 000,000,000 | R--D | M] -- C:\Program Files
[2012.01.15 16:57:34 | 000,000,000 | ---D | M] -- C:\ProgramData
[2010.04.16 17:56:54 | 000,000,000 | -HSD | M] -- C:\Programme
[2010.12.03 21:44:43 | 000,000,000 | ---D | M] -- C:\Qoobox
[2010.04.16 17:56:54 | 000,000,000 | ---D | M] -- C:\Recovery
[2011.08.24 16:38:51 | 000,000,000 | ---D | M] -- C:\swsetup
[2012.01.13 20:37:27 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.08.22 12:40:57 | 000,000,000 | R--D | M] -- C:\Users
[2012.01.15 16:57:31 | 000,000,000 | ---D | M] -- C:\Windows
[2010.12.03 11:13:34 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
< %LOCALAPPDATA%\*.exe >
[2012.01.15 16:57:34 | 000,286,208 | ---- | M] (Microsoft Corporation) -- C:\Users\Christoph\AppData\Local\yec.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\ERDNT\cache\AGP440.sys
[2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\drivers\AGP440.sys
[2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_x86_neutral_65848c2d7375a720\AGP440.sys
[2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_b9e9435f20046eeb\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\ERDNT\cache\atapi.sys
[2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys
[2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
[2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\ERDNT\cache\cngaudit.dll
[2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\System32\cngaudit.dll
[2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll
 
< MD5 for: EXPLORER.EXE  >
[2009.07.14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe
[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
 
< MD5 for: IASTOR.SYS  >
[2011.04.26 09:57:06 | 000,461,080 | ---- | M] (Intel Corporation) MD5=9615DAF540B2C04DC871D10D7AE59F38 -- C:\Windows\System32\drivers\iaStor.sys
[2011.04.26 09:57:06 | 000,461,080 | ---- | M] (Intel Corporation) MD5=9615DAF540B2C04DC871D10D7AE59F38 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_x86_neutral_868c7a2987d8afc0\iaStor.sys
 
< MD5 for: IASTORV.SYS  >
[2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\System32\drivers\iaStorV.sys
[2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_18cccb83b34e1453\iaStorV.sys
[2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_aee7a89be91b9000\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\ERDNT\cache\netlogon.dll
[2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\System32\netlogon.dll
[2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_fd8e0d66994d7dc8\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\System32\drivers\nvstor.sys
[2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_5bde3fe2945bce9e\nvstor.sys
[2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_39b1194b205239d8\nvstor.sys
 
< MD5 for: NVSTOR32.SYS  >
[2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Drivers\Chipset_9.46\nvstor32.sys
[2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Windows\System32\DriverStore\FileRepository\nvrd32.inf_x86_neutral_18c69887da9918de\nvstor32.sys
[2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Windows\System32\DriverStore\FileRepository\nvstor32.inf_x86_neutral_74ff7dcd014d100b\nvstor32.sys
 
< MD5 for: SCECLI.DLL  >
[2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\ERDNT\cache\scecli.dll
[2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\System32\scecli.dll
[2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_37e4387f3a6f0483\scecli.dll
 
< MD5 for: USER32.DLL  >
[2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\ERDNT\cache\user32.dll
[2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll
[2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\ERDNT\cache\userinit.exe
[2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe
[2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
[2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2009.07.14 00:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2009.07.14 00:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_4f5cf6f829213bb2\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %USERPROFILE%\*.* >
[2012.01.15 18:55:27 | 007,602,176 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT
[2012.01.15 18:55:27 | 000,262,144 | -HS- | M] () -- C:\Users\Christoph\ntuser.dat.LOG1
[2010.04.16 18:00:16 | 000,000,000 | -HS- | M] () -- C:\Users\Christoph\ntuser.dat.LOG2
[2010.04.16 22:08:00 | 000,065,536 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf
[2010.04.16 22:08:00 | 000,524,288 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms
[2010.04.16 22:08:00 | 000,524,288 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms
[2010.04.16 18:00:16 | 000,000,020 | -HS- | M] () -- C:\Users\Christoph\ntuser.ini
[2010.04.22 15:26:50 | 000,000,488 | RHS- | M] () -- C:\Users\Christoph\ntuser.pol
[2011.01.07 13:20:19 | 000,000,600 | ---- | M] () -- C:\Users\Christoph\PUTTY.RND
[2012.01.11 21:51:25 | 414,467,058 | ---- | M] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa
 
< %USERPROFILE%\Local Settings\Temp\*.exe >
 
< %USERPROFILE%\Local Settings\Temp\*.dll >
 
< %USERPROFILE%\Application Data\*.exe >
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
 
========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\Windows\$NtUninstallKB47072$] -> Error: Cannot create file handle -> Unknown point type

< End of report >
         
Ein Extra.txt hat sich bei mir leider nicht geöffnet! Nur der OTL.txt

Gruß
__________________

Alt 15.01.2012, 20:21   #4
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.01.2012, 22:07   #5
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



so...

1.) ich musste avast deinstallieren, weil mir combofix immer anzeigte, dass avast noch aktiv sei, obwohl alles aus war. selbst nach der deinstallation hat er das noch angezeigt.

2.) er hat ein zero.access rootkit gefunden und zwei durchgänge laufen lassen

hier hast du die log datei:

Code:
ATTFilter
ComboFix 12-01-15.01 - Christoph 15.01.2012  22:45:16.3.2 - x86
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.3069.2491 [GMT 1:00]
ausgeführt von:: c:\users\Christoph\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Christoph\AppData\Local\yec.exe
c:\windows\$NtUninstallKB47072$
c:\windows\$NtUninstallKB47072$\1382785983
c:\windows\XSxS
.
Infizierte Kopie von c:\windows\system32\drivers\tdx.sys wurde gefunden und desinfiziert 
Kopie von - The cat found it :) wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-15 bis 2012-01-15  ))))))))))))))))))))))))))))))
.
.
2012-01-15 21:58 . 2012-01-15 21:58	--------	d--h--w-	c:\windows\system32\Settings
2012-01-15 21:56 . 2012-01-15 21:58	--------	d-----w-	c:\users\Christoph\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56	--------	d-----w-	c:\users\Public\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-01-15 21:41 . 2009-07-13 23:12	74240	----a-w-	c:\windows\system32\drivers\tdx.sys
2012-01-15 15:57 . 2012-01-15 15:57	--------	d-----w-	c:\users\Christoph\AppData\Local\SanctionedMedia
2012-01-15 15:45 . 2012-01-15 15:45	--------	d-----w-	c:\windows\Sun
2012-01-14 21:25 . 2012-01-14 21:25	--------	d-----w-	c:\program files\Xenocode
2012-01-14 21:23 . 2012-01-14 21:26	--------	d-----w-	c:\users\Christoph\Portable CorelDRAW Graphic Suite 12-12.0.0.458
2012-01-13 19:37 . 2011-11-21 10:47	6823496	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E671E2E5-F1B3-4775-810A-875B3C34DA07}\mpengine.dll
2012-01-13 19:14 . 2012-01-13 19:15	--------	d-----w-	c:\program files\OpenSSH
2012-01-13 17:55 . 2011-11-17 05:48	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-13 17:55 . 2011-11-17 05:39	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-13 17:55 . 2011-11-17 05:38	1037312	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-13 17:55 . 2011-11-17 05:48	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-13 17:55 . 2011-11-17 05:42	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-13 17:55 . 2011-11-17 05:39	314368	----a-w-	c:\windows\system32\webio.dll
2012-01-13 17:55 . 2011-11-17 05:39	99840	----a-w-	c:\windows\system32\sspicli.dll
2012-01-13 17:55 . 2011-11-17 05:39	15360	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-13 17:55 . 2011-11-17 05:39	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-13 17:55 . 2011-11-17 05:36	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-11 21:42 . 2011-11-17 05:41	1288984	----a-w-	c:\windows\system32\ntdll.dll
2012-01-11 21:42 . 2011-10-26 04:28	1328640	----a-w-	c:\windows\system32\quartz.dll
2012-01-11 21:42 . 2011-10-26 04:28	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-01-11 21:42 . 2011-11-19 14:06	67072	----a-w-	c:\windows\system32\packager.dll
2012-01-09 19:15 . 2012-01-09 19:20	--------	d-----w-	c:\users\Christoph\AppData\Roaming\redsn0w
2012-01-08 23:36 . 2012-01-08 23:36	--------	d-----w-	c:\program files\iPod
2012-01-08 23:36 . 2012-01-08 23:37	--------	d-----w-	c:\program files\iTunes
2012-01-08 23:34 . 2012-01-08 23:34	--------	d-----w-	c:\program files\Bonjour
2012-01-08 23:27 . 2012-01-08 23:27	--------	d-----w-	c:\program files\Apple Software Update
2011-12-24 14:12 . 2011-12-27 11:24	--------	d-----w-	c:\program files\FlashMute
2011-12-20 13:04 . 2011-12-20 13:04	--------	d-----w-	c:\users\Christoph\AppData\Local\DDMSettings
2011-12-20 12:48 . 2011-12-20 12:48	--------	d-----w-	c:\users\Christoph\AppData\Roaming\GetRightToGo
2011-12-19 11:13 . 2011-12-19 11:13	--------	d-----w-	c:\programdata\UUdb
2011-12-19 11:13 . 2011-12-19 11:13	--------	d-----w-	c:\program files\1und1Softwareaktualisierung
2011-12-19 11:13 . 2011-12-19 11:13	--------	d-----w-	c:\users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH
2011-12-18 10:55 . 2011-12-18 10:55	--------	d-----w-	c:\users\Christoph\AppData\Local\FILSH_Media_GmbH
2011-12-18 10:55 . 2011-12-18 10:55	--------	d-----w-	c:\program files\YouTube_Video_Downloader
2011-12-17 21:33 . 2011-12-17 21:33	--------	d-----w-	c:\program files\ArcSoft
2011-12-17 21:33 . 2004-12-06 18:11	258352	----a-w-	c:\windows\system32\unicows.dll
2011-12-17 21:33 . 1995-07-31 12:44	212480	----a-w-	c:\windows\PCDLIB32.DLL
2011-12-17 20:06 . 2009-07-13 14:46	37280	----a-w-	c:\windows\system32\drivers\RTL2832U_IRHID.sys
2011-12-17 20:06 . 2009-07-06 16:37	32800	----a-w-	c:\windows\system32\drivers\RTL2832UUSB.sys
2011-12-17 20:06 . 2009-07-06 16:36	91168	----a-w-	c:\windows\system32\drivers\RTL2832UBDA.sys
2011-12-17 20:05 . 2011-12-17 20:05	--------	d-----w-	c:\program files\NewSoft
2011-12-17 20:05 . 2009-04-02 13:22	127085	----a-w-	c:\windows\system32\RTKFMSOURCE.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-10 14:24 . 2010-11-30 18:41	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-12-08 10:35 . 2009-10-14 02:21	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-11-25 21:04 . 2011-06-04 08:03	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23 . 2011-12-14 10:56	2340352	----a-w-	c:\windows\system32\win32k.sys
2011-11-05 04:35 . 2011-12-14 10:56	981504	----a-w-	c:\windows\system32\wininet.dll
2011-11-05 04:34 . 2011-12-14 10:56	44544	----a-w-	c:\windows\system32\licmgr10.dll
2011-11-05 03:28 . 2011-12-14 10:56	386048	----a-w-	c:\windows\system32\html.iec
2011-11-05 02:55 . 2011-12-14 10:56	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-26 04:42 . 2011-12-14 10:55	3901808	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-26 04:42 . 2011-12-14 10:55	3957104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-26 04:25 . 2011-12-14 10:56	38912	----a-w-	c:\windows\system32\csrsrv.dll
2011-10-20 23:26 . 2011-10-20 23:26	94208	----a-w-	c:\windows\system32\dpl100.dll
2011-08-16 18:11 . 2011-05-06 13:22	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"Smad"="c:\users\Christoph\AppData\Local\SanctionedMedia\Smad\Smad.exe" [2012-01-15 37376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 321080]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-04-29 284440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"mspd"="c:\windows\system32\mspd.exe" [2003-08-27 389632]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-12-17 536668]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"QuickLaunchEnabled"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^phase-6 Reminder.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TMMonitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\TMMonitor.lnk
backup=c:\windows\pss\TMMonitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^klickTel OEM 2008 - Schnellstarter.lnk]
path=c:\users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\klickTel OEM 2008 - Schnellstarter.lnk
backup=c:\windows\pss\klickTel OEM 2008 - Schnellstarter.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59	937920	----a-r-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58	37296	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44	500208	------w-	c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FILSHtray]
2011-12-16 01:09	596992	----a-w-	c:\program files\YouTube_Video_Downloader\FILSHtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 09:44	31072	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-12-08 00:36	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-08-20 11:25	2363392	----a-w-	c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2010-07-02 10:20	671608	----a-w-	c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2011-04-28 07:59	220552	----a-w-	c:\program files\pdf24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36	50472	------w-	c:\program files\CyberLink\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 18:23	83240	------w-	c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung Common SM]
2005-07-03 07:20	372736	------w-	c:\windows\Samsung\ComSMMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-10-29 13:49	249064	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tvncontrol]
2011-08-03 13:23	828944	----a-w-	c:\program files\TightVNC\tvnserver.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-05-09 19:09	399736	----a-w-	c:\program files\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XboxStat]
2007-09-27 01:05	734264	----a-w-	c:\program files\Microsoft Xbox 360 Accessories\XBoxStat.exe
.
R1 ArcSec;archlp;c:\windows\system32\drivers\ArcSec.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OpenSSHd;OpenSSH Server;c:\program files\OpenSSH\bin\cygrunsrv.exe [2004-04-18 36864]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
R3 iscFlash;iscFlash;c:\swsetup\sp45138\iscflash.sys [2009-06-16 13312]
R3 NETw5s32;Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2010-05-31 6766080]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-09-29 4032992]
R3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\DRIVERS\RTL2832U_IRHID.sys [2009-07-13 37280]
R3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [2009-07-06 91168]
R3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\Drivers\RTL2832UUSB.sys [2009-07-06 32800]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\DRIVERS\SCR3XX2K.sys [2010-11-11 59136]
S0 johci;JMicron 1394 Filter Driver;c:\windows\system32\DRIVERS\johci.sys [2009-11-10 17320]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\aestsrv.exe [2009-03-03 81920]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-05-13 26168]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-04-29 13592]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 tvnserver;TightVNC Server;c:\program files\TightVNC\tvnserver.exe [2011-08-03 828944]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2009-06-28 59904]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2011-01-31 144472]
S3 NETwNs32;___ Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETwNs32.sys [2011-01-19 7087616]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2011-07-07 139880]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-06-23 275048]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 11:24	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-24 c:\windows\Tasks\DriverEasy Scheduled Scan.job
- c:\program files\Easeware\DriverEasy\DriverEasy.exe [2010-08-27 07:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = local;*.local
uInternet Settings,ProxyServer = 131.247.2.247:3124
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
Trusted Zone: kino.to
Trusted Zone: web.de\www
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\yqsjzsks.Christoph\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.http - 62.49.41.147
FF - prefs.js: network.proxy.http_port - 80
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{C424171E-592A-415A-9EB1-DFD6D95D3530} - (no file)
MSConfigStartUp-AdobeCS5ServiceManager - c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
MSConfigStartUp-ArcSoft Connection Service - c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
MSConfigStartUp-SwitchBoard - c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
MSConfigStartUp-VeohPlugin - c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\.tdx]
"ImagePath"="\?"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-556683703-228710120-2652249240-1000\Software\SecuROM\License information*]
"datasecu"=hex:9c,9c,33,0f,77,5e,62,ba,56,bc,ca,95,68,76,ec,1a,a4,69,a4,96,45,
   7b,b4,40,8a,f1,2f,51,14,d6,75,39,84,57,9f,d9,e8,ad,aa,81,34,8b,ba,7e,1d,b8,\
"rkeysecu"=hex:45,c8,fc,17,d2,ed,65,93,76,f8,a0,0b,d5,cb,9a,08
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3952)
c:\program files\WinSCP\DragExt.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\IDT\WDM\STacSV.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\sppsvc.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-15  23:02:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-15 22:02
ComboFix2.txt  2010-12-03 20:44
ComboFix3.txt  2010-12-03 10:03
.
Vor Suchlauf: 18 Verzeichnis(se), 132.837.097.472 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 132.893.532.160 Bytes frei
.
- - End Of File - - A14C474D70EC5A511CA9A7C91DA0C372
         
PS: er hat sich natürlich im normalen modus wieder hochgefahren. und bis jetzt wurde mein bildschirm nicht blockiert
schon mal ein erfolg!


Alt 16.01.2012, 11:22   #6
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



öffne bitte computer, c: qoobox.
rechtsklick quarantain, mit winrar oder anderem programm packen, archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
--> Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich

Alt 16.01.2012, 19:03   #7
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



So...

ich habs hochgeladen und hoffe, dass ich es richtig gemacht hab mit dem packen, da er beim packen das angehängte bild angezeigt hat.

gruß
Miniaturansicht angehängter Grafiken
-2.jpg  

Alt 17.01.2012, 20:13   #8
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



nur mal als zwischenfrage:

hängt euer server die hochgeladenen dateien automatisch an? und wie lang dauert sowas? oder hab ich da doch was falsch gemacht?

gruß

Alt 17.01.2012, 20:17   #9
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



sorry deinen post übersehen
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.01.2012, 21:10   #10
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



ja aber unregelmäßig...

einmal pro monat die miete und evtl hin und wieder mal ebay oder amazon. das aber eher wenig.

habe gestern schon für jedes online-shopping portal sowie für online banking und email die passwörter geändert.

gruß

Alt 18.01.2012, 11:23   #11
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



ich hoffe nicht von dem pc, denn das wäre ziemlich sinnlos.
wie oft du onlinebanking machst ist unerheblich.
du hast das zero access rootkit auf dem pc, dieser muss neu aufgesetzt werden.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.01.2012, 11:30   #12
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



nein, nicht von dem PC, sondern von nem Apple...

ich habe gehofft, du würdest mir eine bessere Nachricht schreiben

Zwei Fragen:

1) Reicht die Formatierung, welche Windows7 bei der Installation von der CD durchführt? Das ist ja quasi die Standardformatierung.

2) Wenn ich Autoplay deaktiviere und der die externe Festplatte nicht mehr automatisch öffnet, warum kann ich dann Dateien einfach auf die Festplatte verschieben, auch wenn sie evtl. noch versucht sein könnten?
Warum ist das nicht zu gefährlich?

Gruß

Alt 18.01.2012, 11:35   #13
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



hi,
1. die reicht.
also bei start der cd auf benutzerdefiniert, dann bis zur partitions auswahl, dann optionen und die partition verschieben.
2. da du nur einige datei typen sicherst, wie bilder dokumente.... ist die gefahr geringer.
außerdem werden wir ja das system noch absichern, und danach erst wird die platte angeschlossen und geprüft.
die gefahr sollte also sehr gering sein.
edit:
wegen der guten nachicht, dir ist kein finanzieller schaden entstanden, ist das nicht schon mal was? :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.01.2012, 11:52   #14
marble
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



so kann man es auch sehen...danke erstmal soweit, ich werde damit wohl morgen anfangen.

ich habe aber mal zwei fragen nebenbei:

1) warum glaubst du, dass zurzeit so unglaublich viele leute sich diesen trojaner einfangen? ich war schockiert, als ich vor einigen tagen hier in dieses forum guckte.

2) ich hab bis jetzt immer nur avast benutzt und halt parallel den windows defender und die firewall. reicht das in zukunft auch noch? oder welche aktionen sollte ich regelmäßig durchführen, zur kontrolle und prävention der festplatte?

gruß

Alt 18.01.2012, 12:15   #15
markusg
/// Malware-holic
 
Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Standard

Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich



hi,
1. und damit will ich keinem zu nahe treten, das sind einfach erfahrungswerte.
besuch von streaming seiten, wie zb kino streams, serien streams und sport streams.
diese sind, bekanntermaßen nicht grad legal, und das nutzen kriminelle, ich kann nur immer wieder sagen, auch wenn ihr denkt, das es dort das zeug kostenlos ist, dem ist nicht so, es werden millionen durch werbung dort verdient und auch durch das verbreiten von malware.
pornoseiten währen natürlich auch ein üblicher verbreitungsweg.
auf solchen seiten wird dann häufig das blackhole exploit kit genutzt, welches verschiedenste programme auf sicherheitslücken prüft, hat es dann eine gefunden, wird dann schadcode geladen. also ist ein teil des übels natürlich auch, schlecht gewartete software.
2. werde ich dir aufzeigen, wie du das system absicherst.
wenn du einverstanden bist, möchte ich das aber erst machen, wenn wir beim formatieren angelangt sind, da ich die erfahrung gemacht hab das es besser ist lieber alles in ruhe nacheinander abzuarbeiten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich
abgesicherte, abgesicherten, abgesicherten modus, abgesicherter, abgesicherter modus, abgesicherter modus möglich, ebenfalls, einfach, erwischt, formatierung, hoffe, modus, scans, schnell, windows



Ähnliche Themen: Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich


  1. Nur noch abgesicherter Modus möglich, sonst super langsam
    Log-Analyse und Auswertung - 14.03.2015 (15)
  2. Interpol blockiert Desktop, kein abgesicherter Modus möglich
    Log-Analyse und Auswertung - 27.10.2014 (3)
  3. Windows vista abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 27.01.2014 (1)
  4. Windows vista abgesicherter Modus nicht möglich
    Alles rund um Windows - 26.01.2014 (1)
  5. Windows7 nur noch abgesicherter Modus möglich (aka Systemwiederherstellung)
    Log-Analyse und Auswertung - 07.12.2013 (11)
  6. GVU Trojaner, abgesicherter Modus nicht Möglich, Windows 7 (x64)
    Plagegeister aller Art und deren Bekämpfung - 26.11.2013 (10)
  7. Windows Xp *BKA*-Trojaner kein Abgesicherter Modus möglich
    Log-Analyse und Auswertung - 15.09.2013 (5)
  8. Nur noch abgesicherter Modus möglich
    Log-Analyse und Auswertung - 12.08.2013 (9)
  9. Windows XP: GVU Trojaner - Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 10.08.2013 (5)
  10. GVU Trojaner Windows XP Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 02.07.2013 (19)
  11. GVU Trojaner auf Windows XP, kein abgesicherter Modus möglich
    Log-Analyse und Auswertung - 17.03.2013 (4)
  12. GVU Trojaner - Windows XP SP3 - kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (14)
  13. GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (15)
  14. GVU Trojaner auf Windows XP, kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (18)
  15. GVU Trojaner, nur noch abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (28)
  16. BKA Virus - kein abgesicherter Modus möglich - Windows XP
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (4)
  17. Security Guard blockiert meinen Laptop, kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (43)

Zum Thema Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich - Hey, auch mich hat es leider erwischt und ich kann dies hier nur über den abgesicherten Modus schreiben. Ich behalte mir vor, nicht einfach mit irgendwelchen Scans anzufangen und hoffe, - Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich...
Archiv
Du betrachtest: Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.