Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GEMA Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.02.2012, 15:23   #1
R-Style
 
GEMA Trojaner - Standard

GEMA Trojaner



Hallo liebe Forengemeinde,
ich bin wie so mancher hier, durch Google auf das Forum gestoßen.
Ich darf mich momentan mit dem Laptop vom Freund meiner Schwester rumschlagen. Er hat sich diesen doofen GEMA Trojaner eingefangen, und der Rechner ist gesperrt.
Ich bitte um eure Hilfe in diesem nicht anscheinend sonderlichen einzelfall ;-)


Vielen Dank im vorraus!
MfG R-Style

Alt 07.02.2012, 15:25   #2
markusg
/// Malware-holic
 
GEMA Trojaner - Standard

GEMA Trojaner



hi,
klappt folgendes:
neustarten, f8 drücken, abgesicherter modus mit netzwerk.
wenn du dort arbeiten kannst:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 07.02.2012, 15:38   #3
R-Style
 
GEMA Trojaner - Standard

GEMA Trojaner



Danke markusg für die schnelle Hilfe, leider kann ich auch im Abgesichtern Modus nichts machen, ich sehe zwar anfangs die Taskleiste aber dann öffnet sich wieder der Trojaner und es kommt nur "This program cannot Display the webpage".
__________________

Alt 07.02.2012, 15:41   #4
markusg
/// Malware-holic
 
GEMA Trojaner - Standard

GEMA Trojaner



ja, immer mit der ruhe.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.02.2012, 18:21   #5
R-Style
 
GEMA Trojaner - Standard

GEMA Trojaner



So ich habe das Programm dann jetzt mal durchlaufen lassen, allerdings hat er mir nur die OTL.txt ausgeworfen, und keine weitere Logdatei.

Code:
ATTFilter
OTL logfile created on: 2/8/2012 2:05:12 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000C09 | Country: Australia | Language: ENA | Date Format: d/MM/yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 223.29 Gb Total Space | 39.89 Gb Free Space | 17.87% Space Free | Partition Type: NTFS
Drive D: | 9.59 Gb Total Space | 1.71 Gb Free Space | 17.84% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/07/20 09:28:55 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010/02/26 11:19:54 | 003,623,424 | ---- | M] (Native Instruments GmbH) [Auto] -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe -- (NIHardwareService)
SRV - [2008/10/17 02:52:10 | 000,149,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (LiveUpdate Notice)
SRV - [2008/10/17 02:52:10 | 000,149,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService)
SRV - [2008/10/17 02:52:10 | 000,149,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (ccSetMgr)
SRV - [2008/10/17 02:52:10 | 000,149,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (ccEvtMgr)
SRV - [2008/09/04 22:52:32 | 003,220,856 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE -- (LiveUpdate)
SRV - [2008/05/21 11:59:58 | 001,245,064 | ---- | M] () [On_Demand] -- C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe -- (Symantec Core LC)
SRV - [2008/04/16 13:55:02 | 000,221,239 | ---- | M] (IDT, Inc.) [Auto] -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\stacsv.exe -- (STacSV)
SRV - [2008/03/26 17:26:56 | 000,341,328 | ---- | M] () [Auto] -- C:\Windows\SMINST\BLService.exe -- (Recovery Service for Windows)
SRV - [2008/02/12 00:05:54 | 000,073,728 | ---- | M] (Andrea Electronics Corporation) [Auto] -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\AEstSrv.exe -- (AESTFilters)
SRV - [2008/02/09 17:06:00 | 000,238,968 | ---- | M] (Symantec Corporation) [Auto] -- C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe -- (Automatic LiveUpdate Scheduler)
SRV - [2008/01/20 21:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007/12/11 14:15:04 | 000,012,800 | ---- | M] (Agere Systems) [Auto] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2007/10/10 18:45:56 | 000,051,712 | ---- | M] (ArcSoft) [Auto] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2007/08/22 02:21:00 | 000,055,640 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe -- (comHost)
SRV - [2007/06/14 22:57:42 | 000,145,504 | ---- | M] (B.H.A Corporation) [Auto] -- C:\Windows\System32\bgsvcgen.exe -- (bgsvcgen)
SRV - [2007/03/25 23:06:24 | 000,292,864 | ---- | M] (Nokia.) [On_Demand] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (UIUSys)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (NAVEX15)
DRV - File not found [Kernel | On_Demand] --  -- (NAVENG)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2009/12/02 05:11:35 | 000,124,464 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2009/08/18 01:57:40 | 000,281,760 | ---- | M] () [Kernel | Auto] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt)
DRV - [2009/08/18 01:57:39 | 000,025,888 | ---- | M] () [Kernel | Auto] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2009/03/16 23:56:58 | 000,447,024 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys -- (SPBBCDrv)
DRV - [2009/02/19 00:31:42 | 000,024,112 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Windows\System32\drivers\SymIMV.sys -- (SymIM)
DRV - [2009/02/19 00:31:18 | 000,041,008 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\Drivers\SYMNDISV.SYS -- (SYMNDISV)
DRV - [2009/02/19 00:31:16 | 000,184,496 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Windows\System32\Drivers\SYMTDI.SYS -- (SYMTDI)
DRV - [2009/02/19 00:31:16 | 000,096,560 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\Drivers\SYMFW.SYS -- (SYMFW)
DRV - [2009/02/19 00:31:16 | 000,022,320 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)
DRV - [2009/02/19 00:31:16 | 000,013,616 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\Drivers\SYMDNS.SYS -- (SYMDNS)
DRV - [2008/04/27 13:07:44 | 000,909,824 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008/04/16 13:58:24 | 000,379,904 | ---- | M] (IDT, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\stwrt.sys -- (STHDA)
DRV - [2008/04/14 17:56:18 | 000,170,000 | ---- | M] (AMD Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\ahcix86s.sys -- (ahcix86s)
DRV - [2008/04/14 14:05:08 | 000,118,784 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2008/04/01 06:14:00 | 000,081,296 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR)
DRV - [2008/03/28 06:24:16 | 003,544,064 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2008/03/27 14:12:12 | 000,024,424 | ---- | M] (Hewlett-Packard Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\hpdskflt.sys -- (hpdskflt)
DRV - [2008/03/27 14:11:34 | 000,034,664 | ---- | M] (Hewlett-Packard Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Accelerometer.sys -- (Accelerometer)
DRV - [2008/02/29 18:13:38 | 001,202,560 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2008/02/27 23:15:52 | 000,081,792 | ---- | M] (CEntrance, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\zms2c5au.sys -- (ZMS2TC51TAudioSrv)
DRV - [2008/01/31 18:51:00 | 000,317,616 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\srtspl.sys -- (SRTSPL)
DRV - [2008/01/31 18:51:00 | 000,279,088 | ---- | M] (Symantec Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\srtsp.sys -- (SRTSP)
DRV - [2008/01/31 18:51:00 | 000,043,696 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Windows\System32\drivers\srtspx.sys -- (SRTSPX)
DRV - [2008/01/23 16:23:12 | 000,052,736 | ---- | M] (ENE TECHNOLOGY INC.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\enecir.sys -- (enecir)
DRV - [2008/01/07 15:42:04 | 000,015,416 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\Windows\System32\drivers\Amddfltr.sys -- (Amddfltr)
DRV - [2007/11/06 17:07:00 | 000,180,272 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\ProgramData\Symantec\Definitions\SymcData\ipsdefs\20071204.002\IDSvix86.sys -- (IDSvix86)
DRV - [2007/08/08 18:39:00 | 000,036,056 | ---- | M] (Symantec Corporation) [Kernel | Auto] -- C:\Windows\System32\drivers\CO_Mon.sys -- (CO_Mon)
DRV - [2007/07/11 12:30:22 | 000,007,168 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\HpqRemHid.sys -- (HpqRemHid)
DRV - [2007/06/18 19:12:04 | 000,016,768 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\HpqKbFiltr.sys -- (HpqKbFiltr)
DRV - [2007/02/21 20:15:56 | 000,137,216 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcd.sys -- (nmwcd)
DRV - [2007/02/21 20:15:14 | 000,012,288 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcdcm.sys -- (nmwcdcm)
DRV - [2007/02/21 20:15:14 | 000,012,288 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcdcj.sys -- (nmwcdcj)
DRV - [2007/02/21 20:15:14 | 000,008,320 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcdc.sys -- (nmwcdc)
DRV - [2006/11/23 05:20:06 | 000,018,432 | ---- | M] (SIA Syncrosoft) [Kernel | On_Demand] -- C:\Windows\System32\drivers\synasUSB.sys -- (SynasUSB)
DRV - [2006/11/02 02:30:56 | 000,429,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvm60x32.sys -- (NVENETFD)
DRV - [2006/10/29 15:23:12 | 000,007,680 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV - [2006/02/20 05:17:40 | 000,033,408 | ---- | M] (B.H.A Corporation) [Kernel | System] -- C:\Windows\System32\drivers\cdrbsdrv.sys -- (cdrbsdrv)
DRV - [2005/10/31 14:34:07 | 000,079,153 | ---- | M] (Roland Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rdwm1064.sys -- (RDID1064)
DRV - [2005/02/23 00:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\afc.sys -- (Afc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_au&c=83&bd=Pavilion&pf=cnnb
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_au&c=83&bd=Pavilion&pf=cnnb
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\HN_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_au&c=83&bd=Pavilion&pf=cnnb
IE - HKU\HN_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.telstra.com/
IE - HKU\HN_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\HN_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\HN_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\HN_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\HN_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 127.0.0.1:59274
 
 
 
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
 
 
O1 HOSTS File: ([2006/09/18 16:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Common Files\Symantec Shared\IDS\IPSBHO.dll (Symantec Corporation)
O2 - BHO: (AOL Toolbar BHO) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation)
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
O3 - HKU\HN_ON_C\..\Toolbar\WebBrowser: (Show Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation)
O3 - HKU\HN_ON_C\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft)
O4 - HKLM..\Run: [BSDAppUpdater] C:\Program Files\Common Files\BSD\AppUpdater\BSDChecker.exe (Bootstrap Software Development)
O4 - HKLM..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)
O4 - HKLM..\Run: [InetAccelerator] C:\Windows\System32\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [InetAccelerator.] C:\ProgramData\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\HN_ON_C..\Run: [{E965417A-DC2F-253C-DD26-83C0872352D0}] C:\Users\HN\AppData\Roaming\Udoxki\tifa.exe ()
O4 - HKU\HN_ON_C..\Run: [ctf3g] C:\Users\HN\AppData\Roaming\ctf3g.exe (Microsoft Corporation)
O4 - HKU\HN_ON_C..\Run: [EA Core]  File not found
O4 - HKU\HN_ON_C..\Run: [Firefox helper] C:\Users\HN\AppData\Local\Mozilla\Firefox\firefox.exe ()
O4 - HKU\HN_ON_C..\Run: [InetAccelerator] C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKU\HN_ON_C..\Run: [notifySched] C:\ProgramData\notifySched.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\HN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe ()
O8 - Extra context menu item: &AOL Toolbar Search - C:\ProgramData\AOL\ieToolbar\resources\en-AU\local\search.html ()
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\InetAccelerator\InetAccelerator.exe) - C:\ProgramData\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\InetAccelerator.exe) - C:\Windows\System32\InetAccelerator.exe (MacroSoft)
O20 - HKU\HN_ON_C Winlogon: Shell - (C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe) - C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKU\HN_ON_C Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/05/21 12:56:12 | 000,000,074 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{8b0b47e4-f383-11dd-90cb-00238b3dd351}\Shell\AutoRun\command - "" = wd_windows_tools\setup.exe
O33 - MountPoints2\{a0d33044-d95c-11dd-8fbc-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{a0d33044-d95c-11dd-8fbc-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe
O33 - MountPoints2\{ab2020c3-2c21-11df-b008-00238b3dd351}\Shell - "" = AutoRun
O33 - MountPoints2\{ab2020c3-2c21-11df-b008-00238b3dd351}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\{dfe45d4a-2a80-11e0-9a8e-00238b3dd351}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\{ec4e4521-21c4-11de-a22d-00238b3dd351}\Shell - "" = AutoRun
O33 - MountPoints2\{ec4e4521-21c4-11de-a22d-00238b3dd351}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/02/07 10:35:26 | 000,349,184 | ---- | C] (MacroSoft) -- C:\Windows\System32\InetAccelerator.exe
[2012/02/05 13:17:36 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\InetAccelerator
[2012/02/05 13:17:35 | 000,000,000 | ---D | C] -- C:\ProgramData\InetAccelerator
[2012/02/05 13:17:31 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\Udoxki
[2012/02/05 13:17:31 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\Sayg
[2012/02/05 13:17:31 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Local\Mozilla
[2012/02/05 13:17:28 | 000,103,432 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\notifySched.exe
[2012/02/05 13:17:28 | 000,103,432 | ---- | C] (Microsoft Corporation) -- C:\Users\HN\AppData\Roaming\ctf3g.exe
[2012/01/27 06:07:44 | 001,259,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\lsasrv.dll
[2012/01/21 10:03:52 | 000,066,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\packager.dll
[2012/01/21 10:03:44 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mciseq.dll
[2012/01/21 10:03:35 | 000,376,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2012/01/21 10:03:26 | 001,314,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\quartz.dll
[2012/01/21 10:03:25 | 000,497,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\qdvd.dll
[2010/12/13 08:12:59 | 000,603,648 | ---- | C] (PPtJCIHx) -- C:\Users\HN\AppData\Local\syssvc.exe
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/02/07 10:35:17 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl
[2012/02/07 10:35:07 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/02/07 10:31:28 | 000,000,680 | ---- | M] () -- C:\Users\HN\AppData\Local\d3d9caps.dat
[2012/02/07 10:31:16 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/02/07 10:31:15 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/02/05 13:26:48 | 000,000,269 | ---- | M] () -- C:\Users\Public\Documents\hpqp.ini
[2012/02/05 13:17:32 | 000,349,184 | ---- | M] (MacroSoft) -- C:\Windows\System32\InetAccelerator.exe
[2012/02/05 13:17:28 | 000,103,432 | ---- | M] (Microsoft Corporation) -- C:\ProgramData\notifySched.exe
[2012/02/05 13:17:28 | 000,103,432 | ---- | M] (Microsoft Corporation) -- C:\Users\HN\AppData\Roaming\ctf3g.exe
[2012/01/26 11:21:24 | 000,237,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2012/01/23 07:02:01 | 000,000,540 | ---- | M] () -- C:\Windows\tasks\Norton Internet Security - Run Full System Scan - HN.job
[2012/01/21 09:54:39 | 000,642,704 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/01/21 09:54:38 | 000,121,592 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/01/21 10:03:49 | 000,198,144 | R-S- | C] () -- C:\Users\HN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe
[2010/10/17 05:28:48 | 000,010,358 | ---- | C] () -- C:\Windows\System32\RdCi1064.dll
[2010/10/17 05:28:48 | 000,004,088 | ---- | C] () -- C:\Windows\System32\Rd3t1064.DAT
[2010/07/18 06:41:26 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010/03/19 04:45:18 | 000,000,045 | ---- | C] () -- C:\Windows\System32\SYNSOPOS.exe.cfg
[2010/01/11 03:23:00 | 000,002,892 | ---- | C] () -- C:\Windows\System32\audcon.sys
[2009/12/30 12:32:22 | 000,164,864 | ---- | C] () -- C:\Program Files\UNWISE.EXE
[2009/12/04 09:46:35 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/12/04 09:46:35 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/11/07 02:15:40 | 000,000,483 | ---- | C] () -- C:\Windows\eReg.dat
[2009/10/31 21:00:11 | 000,111,932 | ---- | C] () -- C:\Windows\System32\EPPICPrinterDB.dat
[2009/10/31 21:00:11 | 000,001,136 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_ES.dat
[2009/10/31 21:00:11 | 000,001,120 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_IT.dat
[2009/10/31 21:00:11 | 000,001,107 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_GE.dat
[2009/10/31 21:00:11 | 000,000,097 | ---- | C] () -- C:\Windows\System32\PICSDK.ini
[2009/10/31 21:00:10 | 000,031,053 | ---- | C] () -- C:\Windows\System32\EPPICPattern131.dat
[2009/10/31 21:00:10 | 000,027,417 | ---- | C] () -- C:\Windows\System32\EPPICPattern121.dat
[2009/10/31 21:00:10 | 000,026,154 | ---- | C] () -- C:\Windows\System32\EPPICPattern1.dat
[2009/10/31 21:00:10 | 000,024,903 | ---- | C] () -- C:\Windows\System32\EPPICPattern3.dat
[2009/10/31 21:00:10 | 000,021,390 | ---- | C] () -- C:\Windows\System32\EPPICPattern5.dat
[2009/10/31 21:00:10 | 000,020,148 | ---- | C] () -- C:\Windows\System32\EPPICPattern2.dat
[2009/10/31 21:00:10 | 000,011,811 | ---- | C] () -- C:\Windows\System32\EPPICPattern4.dat
[2009/10/31 21:00:10 | 000,004,943 | ---- | C] () -- C:\Windows\System32\EPPICPattern6.dat
[2009/10/31 21:00:10 | 000,001,146 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_DU.dat
[2009/10/31 21:00:10 | 000,001,139 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_PT.dat
[2009/10/31 21:00:10 | 000,001,139 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_BP.dat
[2009/10/31 21:00:10 | 000,001,129 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_FR.dat
[2009/10/31 21:00:10 | 000,001,129 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_CF.dat
[2009/10/31 21:00:10 | 000,001,104 | ---- | C] () -- C:\Windows\System32\EPPICPresetData_EN.dat
[2009/08/18 01:57:40 | 000,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2009/08/18 01:57:39 | 000,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2009/02/13 06:36:20 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009/02/05 07:54:30 | 000,000,008 | ---- | C] () -- C:\Users\HN\AppData\Roaming\usb.dat.bin
[2009/01/24 01:38:05 | 000,244,736 | ---- | C] () -- C:\Users\HN\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/01/24 00:49:16 | 000,000,321 | ---- | C] () -- C:\Windows\ulead32.ini
[2009/01/16 12:45:49 | 000,000,680 | ---- | C] () -- C:\Users\HN\AppData\Local\d3d9caps.dat
[2008/09/27 05:07:19 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2008/05/21 13:36:01 | 000,101,605 | ---- | C] () -- C:\Windows\hpqins13.dat
[2008/03/28 04:19:10 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2008/03/28 03:51:08 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2008/03/05 14:40:54 | 000,168,883 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2008/03/03 23:02:00 | 000,090,112 | ---- | C] () -- C:\Windows\System32\atibrtmon.exe
[2008/02/27 23:15:52 | 000,046,592 | ---- | C] () -- C:\Windows\System32\zms2c5aso.dll
[2006/11/02 07:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 07:47:37 | 000,389,216 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 07:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 05:33:01 | 000,642,704 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 05:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 05:33:01 | 000,121,592 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 05:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 05:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 03:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 03:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 02:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[1997/06/13 21:56:08 | 000,056,832 | ---- | C] () -- C:\Windows\System32\iyvu9_32.dll
 
========== LOP Check ==========
 
[2011/07/19 09:23:25 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Ableton
[2011/11/11 13:38:24 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\BitTorrent
[2010/04/05 01:41:07 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\BSD
[2010/04/04 04:26:43 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Deckadance16
[2010/04/01 02:40:30 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Hardcore
[2010/04/05 01:36:25 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\iCopyExpert
[2012/02/05 13:17:36 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\InetAccelerator
[2010/04/01 02:49:20 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Juce VST Host
[2009/12/18 06:52:47 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\muvee Technologies
[2009/01/24 01:36:58 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Nokia
[2009/10/31 21:14:06 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Panasonic
[2009/02/08 05:18:22 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\PC Suite
[2010/04/01 02:49:16 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Sawer
[2012/02/05 13:18:10 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Sayg
[2010/01/11 03:27:23 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Steinberg
[2010/03/19 04:28:24 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Telstra
[2012/02/05 13:17:31 | 000,000,000 | ---D | M] -- C:\Users\HN\AppData\Roaming\Udoxki
[2011/07/19 09:23:43 | 000,000,000 | ---D | M] -- C:\ProgramData\Ableton
[2010/06/12 01:12:19 | 000,000,000 | ---D | M] -- C:\ProgramData\Age of Empires 3
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2010/04/05 01:41:01 | 000,000,000 | ---D | M] -- C:\ProgramData\BSD
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2011/07/19 11:39:32 | 000,000,000 | ---D | M] -- C:\ProgramData\Electronic Arts
[2010/03/19 04:51:16 | 000,000,000 | ---D | M] -- C:\ProgramData\eLicenser
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2012/02/05 13:17:35 | 000,000,000 | ---D | M] -- C:\ProgramData\InetAccelerator
[2009/01/24 01:06:46 | 000,000,000 | ---D | M] -- C:\ProgramData\Installations
[2009/01/24 23:46:44 | 000,000,000 | ---D | M] -- C:\ProgramData\LightScribe
[2008/05/21 12:55:37 | 000,000,000 | ---D | M] -- C:\ProgramData\muvee Technologies
[2011/03/29 03:36:23 | 000,000,000 | ---D | M] -- C:\ProgramData\Native Instruments
[2009/01/24 01:12:56 | 000,000,000 | ---D | M] -- C:\ProgramData\PC Suite
[2011/09/26 12:23:21 | 000,000,000 | ---D | M] -- C:\ProgramData\Rosetta Stone
[2011/02/11 02:53:27 | 000,000,000 | ---D | M] -- C:\ProgramData\Solidshield
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2010/01/11 03:23:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Syncrosoft
[2009/08/18 02:00:15 | 000,000,000 | ---D | M] -- C:\ProgramData\Tages
[2011/08/19 11:33:04 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2006/11/02 08:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2010/09/16 05:46:30 | 000,000,000 | ---D | M] -- C:\ProgramData\WildTangent
[2010/09/16 05:49:18 | 000,000,000 | ---D | M] -- C:\ProgramData\WinZip
[2011/03/29 03:32:23 | 000,000,000 | -H-D | M] -- C:\ProgramData\{12C9D0C8-20A9-478B-A1E2-4A2B318DEF2E}
[2008/05/21 13:14:53 | 000,000,000 | ---D | M] -- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2011/03/29 06:04:45 | 000,000,000 | -H-D | M] -- C:\ProgramData\{1E8C7AE2-4367-4069-9771-8176841822C4}
[2011/03/29 03:35:50 | 000,000,000 | -H-D | M] -- C:\ProgramData\{20EFD19B-675C-417B-A498-B0161D72FF88}
[2010/06/03 08:54:32 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/11/25 17:56:46 | 000,000,000 | ---D | M] -- C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2011/03/29 03:31:57 | 000,000,000 | -H-D | M] -- C:\ProgramData\{B5F0C192-874D-49A8-88D7-8431E3714756}
[2011/05/14 21:40:42 | 000,000,000 | ---D | M] -- C:\ProgramData\{BB25779E-744C-48F3-94DE-CD6F60A5AC55}
[2011/03/30 05:18:37 | 000,000,000 | -H-D | M] -- C:\ProgramData\{EABD1E45-B7E9-4848-8E7A-C9D68488B361}
[2012/02/05 13:24:52 | 000,032,610 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 64 bytes -> C:\Users\HN\Documents\SDC10226.AVI:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\HN\Documents\SDC10225.AVI:TOC.WMV
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:206E2596
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:A2947BEA
< End of report >
         
Wie gut das ich im meine Ausbildung zum Fachinformatiker noch nicht abgeschlossen habe, sondern noch dabei bin, sonst waere es wahrscheinlich peinlich dass das Obrige fuer mich groessten Kauderwelsch ist ;-)


Alt 07.02.2012, 18:27   #6
markusg
/// Malware-holic
 
GEMA Trojaner - Standard

GEMA Trojaner



falls du deinen nutzernamen im log geendert hast, passe ihn im script an.
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - Startup: C:\Users\HN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe ()
O4 - HKU\HN_ON_C..\Run: [notifySched] C:\ProgramData\notifySched.exe (Microsoft Corporation)
O4 - HKU\HN_ON_C..\Run: [InetAccelerator] C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKU\HN_ON_C..\Run: [Firefox helper] C:\Users\HN\AppData\Local\Mozilla\Firefox\firefox.exe ()
O4 - HKU\HN_ON_C..\Run: [ctf3g] C:\Users\HN\AppData\Roaming\ctf3g.exe (Microsoft Corporation)
O4 - HKU\HN_ON_C..\Run: [{E965417A-DC2F-253C-DD26-83C0872352D0}] C:\Users\HN\AppData\Roaming\Udoxki\tifa.exe ()
O4 - HKLM..\Run: [InetAccelerator.] C:\ProgramData\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [InetAccelerator] C:\Windows\System32\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\InetAccelerator\InetAccelerator.exe) - C:\ProgramData\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\InetAccelerator.exe) - C:\Windows\System32\InetAccelerator.exe (MacroSoft)
O20 - HKU\HN_ON_C Winlogon: Shell - (C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe) - C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator.exe
(MacroSoft)
[2012/02/07 10:35:26 | 000,349,184 | ---- | C] (MacroSoft) -- C:\Windows\System32\InetAccelerator.exe
[2012/02/05 13:17:36 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\InetAccelerator
[2012/02/05 13:17:35 | 000,000,000 | ---D | C] -- C:\ProgramData\InetAccelerator
[2012/02/05 13:17:31 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\Udoxki
[2012/02/05 13:17:31 | 000,000,000 | ---D | C] -- C:\Users\HN\AppData\Roaming\Sayg
[2012/02/05 13:17:28 | 000,103,432 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\notifySched.exe
[2012/02/05 13:17:28 | 000,103,432 | ---- | C] (Microsoft Corporation) -- C:\Users\HN\AppData\Roaming\ctf3g.exe
[2012/02/05 13:17:32 | 000,349,184 | ---- | M] (MacroSoft) -- C:\Windows\System32\InetAccelerator.exe

:Files
C:\Users\HN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe
C:\ProgramData\notifySched.exe
C:\Users\HN\AppData\Roaming\InetAccelerator\InetAccelerator
C:\Users\HN\AppData\Local\Mozilla\Firefox\firefox.exe
C:\Users\HN\AppData\Roaming\ctf3g.exe
C:\Users\HN\AppData\Roaming\Udoxki
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.



Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
--> GEMA Trojaner

Alt 07.02.2012, 18:50   #7
R-Style
 
GEMA Trojaner - Standard

GEMA Trojaner



Hat alles so geklappt wie du es Beschrieben hast, mir faellt erst jetzt auf was der fuer eine Sch****e auf seinem Laptop hat bzw. was er auch nicht hat^^ z.B. kein funktionierendes Norton Internet Security, also er hat es schon, nur ist das Abo seit 6 Monaten ausgelaufen -.-

Alt 07.02.2012, 18:59   #8
markusg
/// Malware-holic
 
GEMA Trojaner - Standard

GEMA Trojaner



danke für den upload
wird mit dem gerät onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie zb berufliches gemacht?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.02.2012, 07:29   #9
R-Style
 
GEMA Trojaner - Standard

GEMA Trojaner



So ich hatte jetzt eine Gelegenheit, mit dem kollegen zu sprechen. Auf dem Gerät wird nur gesurft und Musik gemacht.

Alt 09.02.2012, 10:04   #10
markusg
/// Malware-holic
 
GEMA Trojaner - Standard

GEMA Trojaner



ich würd trotzdem drüber nachdenken das ding komplett neu zu machen, also mit formatierung, und dann das teil einmal richtig abzusichern.
da ist ja schon einiges an malware im ersten log aufgetaucht.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GEMA Trojaner
doofe, doofen, eingefangen, forum, freund, gefangen, gema trojaner, gemeinde, google, laptop, liebe, momentan, rechner, schei, tan, troja, trojane, trojaner



Ähnliche Themen: GEMA Trojaner


  1. Gema-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (30)
  2. GEMA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (5)
  3. gema Trojaner
    Log-Analyse und Auswertung - 13.06.2012 (1)
  4. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  5. GEMA-Trojaner..
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (43)
  6. Gema trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (4)
  7. BKA Trojaner und GEMA Trojaner haben mein System infiziert!
    Log-Analyse und Auswertung - 23.03.2012 (4)
  8. Gema-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (13)
  9. Gema Trojaner
    Log-Analyse und Auswertung - 20.03.2012 (3)
  10. Gema Trojaner
    Mülltonne - 20.03.2012 (2)
  11. GEMA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (8)
  12. Gema.exe Trojaner
    Log-Analyse und Auswertung - 09.03.2012 (22)
  13. GEMA Trojaner aus Link in E-Mail erworben;Bildschirm zeigt "PC ist gesperrt" an "lt.Gema"
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (7)
  14. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.02.2012 (20)
  15. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  16. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)
  17. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (4)

Zum Thema GEMA Trojaner - Hallo liebe Forengemeinde, ich bin wie so mancher hier, durch Google auf das Forum gestoßen. Ich darf mich momentan mit dem Laptop vom Freund meiner Schwester rumschlagen. Er hat sich - GEMA Trojaner...
Archiv
Du betrachtest: GEMA Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.