Weiterleitung nach google Suche + amazon Daten ausgepäht

motzerrobo · 13.03.2012, 01:20

Hallo Trojaner-board,

vor zwei Wochen wurde ich Opfer eines Angriffs, welcher meine Einloggdaten für meinen amazon Account als "Beute" zur Folge hatte. Amazon hat zum Glück den 900€ Geschenkgutschein der Nachts um 3:00 Uhr gekauft wurde storniert und mein Konto gesperrt. In direkte Verbindung mit meinem System habe ich es nicht gebracht, da keinerlei Anzeichen oder ungewöhnliches im Vorfeld aufgetreten ist. Seit dieser Woche jedoch werde ich zu dubiosen Seiten weitergeleitet, wenn ich die goolge-Suche verwende. Ich habe dazu schon einige Themen hier gefunden und nachgelesen - deshalb habe ich jetzt einen Malware Full Scan gemacht und diese Logfile (siehe Anhang) wurde erzeugt. Dazu habe ich mit dem CC-Cleaner temporäre Files gelöscht und die Registry gecleant. Antivir findet seit heute schon 11 Mal "HTML-Scriptvirus HTML/Infected.WebPage.Gen2" und zusätzlich einmal "TR/Spy.Gen" . Da habe ich mir wohl was eingefangen....

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.12.06

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
motzer :: STEEL [Administrator]

12.03.2012 21:40:32
mbam-log-2012-03-12 (21-40-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 642911
Laufzeit: 2 Stunde(n), 2 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Windows\System32\NETw5x32.dll (RootKit.0Access.H) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{91419E33-D9AC-2F4F-9DDB-0A31B337FF79} (Trojan.ZbotR.Gen) -> Daten: C:\Users\motzer\AppData\Roaming\Ihuw\ecnoni.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\System32\NETw5x32.dll (RootKit.0Access.H) -> Löschen bei Neustart.
C:\Windows\System32\drivers\cdrom.sys (Trojan.Patched) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\motzer\AppData\Roaming\Ihuw\ecnoni.exe (Trojan.ZbotR.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Der Rechner wird privat benutzt ich bin Student, Online Banking nutze ich täglich. Heute natürlich noch nicht, möchte jedoch wieder ruhigen gewissens das System und Onlinedienste nutzen können.

Bitte um Hilfe

Mit freundlichen Grüßen
motzer

Psychotic · 13.03.2012, 08:35

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1: Online-Banking sperren!

Da dein Rechner offensichtlich Schadsoftware enthält, welche Anmeldedaten abgreift:

Rufe die Sperrhotline 116 116 an und lasse das online banking sicherheitshalber sperren - sofort!

Schritt 2: FRST

Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager

Starte den Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste
Wähle nun Computer reparieren.
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

Lege die Windows CD in dein Laufwerk.
Starte den Rechner neu auf und starte von der CD
Wähle die Spracheinstellungen und klicke "Weiter".
Klicke auf Computerreparaturoptionen !!
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.
Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
Schließe Notepad wieder
Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

motzerrobo · 13.03.2012, 22:11

Hallo Marius,

danke für die schnellen Hinweise. War etwas stressig eine Windows CD zu bekommen, hatte die Uni Version damals vom USB Stick installiert. Habe daher versuch vorhin per VPN ins Uni Netz zu gelangen hat aber nicht funktioniert auch mit verschiedenen Clients nicht, obs am Netz oder an meinem System lag weiß ich leider nicht. Habe dann letztendlich doch eine System CD bekommen.
Was mir noch aufgefallen ist die CD Laufwerke waren nicht mehr im Arbeitsplatz vorhanden, habe über den Gerätemanager nachgeschaut, Treiber sollen defekt gewesen sein. Habe sie entfernt und neu installiert - funktionierte danach um die Windows CD brennen zu können.

Lange rede kurzer Sinn hier der Log

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 11-03-2012
Ran by SYSTEM at 13-03-2012 21:58:50
Running from L:\
Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard 
The current controlset is ControlSet001

========================== Registry (Whitelisted) =============

HKLM\...\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe [2105344 2010-10-22] (AVM Berlin)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-03-28] (Avira GmbH)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: []  [x]
HKLM\...\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [36760 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [815512 2012-01-03] (Adobe Systems Inc.)
HKLM\...\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2009-11-18] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [254696 2011-06-09] (Sun Microsystems, Inc.)
HKLM\...\Run: [NI Update Service] "C:\Program Files\National Instruments\Shared\Update Service\NIUpdateService.exe" -startupTask [3002976 2011-06-07] (National Instruments)
HKLM\...\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe [290816 2005-11-11] (Sunbelt Software)
HKU\motzer\...\Run: [NIRegistrationWizard] C:\Program Files\National Instruments\Shared\RegistrationWizard\Bin\RegistrationWizard.exe -autoDiscover 1 -displayIfNoneFound 0 -displayRegisterOptions 1 -sleepIfNoneFound 0 -locale 1031 [846520 2010-06-21] ()
HKU\motzer\...\Run: [{91419E33-D9AC-2F4F-9DDB-0A31B337FF79}] C:\Users\motzer\AppData\Roaming\Ihuw\ecnoni.exe [x]
Winlogon\Notify\lkapoer: 
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

================================ Services (Whitelisted) ==================

2 AMD External Events Utility; C:\Windows\System32\atiesrxx.exe [172032 2009-11-18] (AMD)
2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [136360 2011-03-28] (Avira GmbH)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [269480 2011-07-04] (Avira GmbH)
2 ASDR; C:\Windows\System32\ASDR.exe [61440 2009-07-27] ()
2 ATKFUSService; C:\Windows\system32\ATKFUSService.exe [61952 2009-12-01] (ASUSTeK COMPUTER INC.)
2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [376832 2010-10-22] (AVM Berlin)
3 FLEXnet Licensing Service; "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [1044816 2011-10-10] (Flexera Software, Inc.)
2 LkCitadelServer; C:\Windows\system32\lkcitdl.exe [695136 2010-10-27] (National Instruments, Inc.)
2 lkClassAds; C:\Windows\system32\lkads.exe [46192 2011-06-14] (National Instruments Corporation)
2 lkTimeSync; C:\Windows\system32\lktsrv.exe [56952 2011-06-14] (National Instruments Corporation)
3 Microsoft SharePoint Workspace Audit Service; "C:\Program Files\Microsoft Office\Office14\GROOVE.EXE" /auditservice [31125880 2011-06-12] (Microsoft Corporation)
2 mitsijm2012; "C:\Program Files\Autodesk\Inventor 2012\Moldflow\bin\mitsijm.exe" [580416 2011-08-03] (Autodesk, Inc.)
2 mxssvr; "C:\Program Files\National Instruments\MAX\nimxs.exe" [12696 2011-06-14] (National Instruments Corporation)
4 NetMsmqActivator; "C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe" -NetMsmqActivator [124240 2010-03-18] (Microsoft Corporation)
4 NetPipeActivator; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
4 NetTcpActivator; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
4 NetTcpPortSharing; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
2 NIApplicationWebServer; "C:\Program Files\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe" -user [50336 2011-05-27] (National Instruments Corporation)
2 NIDomainService; "C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe" [362104 2011-06-14] (National Instruments Corporation)
3 NILM License Manager; "C:\Program Files\National Instruments\Shared\License Manager\Bin\lmgrd.exe" [1427688 2010-08-02] (Macrovision Corporation)
2 nimDNSResponder; "C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe" [194224 2011-06-01] (National Instruments Corporation)
2 NINetworkDiscovery; "C:\Program Files\National Instruments\Shared\NI Network Discovery\niDiscSvc.exe" [121032 2011-06-10] (National Instruments Corporation)
2 niSvcLoc; "C:\Program Files\National Instruments\Shared\NI WebServer\SystemWebServer.exe" -system [50328 2011-11-17] (National Instruments Corporation)
2 NITaggerService; "C:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe" [676016 2011-06-14] (National Instruments Corporation)
3 OpcEnum; C:\Windows\system32\OpcEnum.exe [98304 2009-06-03] (OPC Foundation)
3 StorSvc; C:\Windows\System32\storsvc.dll [16384 2009-07-14] (Microsoft Corporation)
2 vpnagent; "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe" [435152 2011-03-23] (Cisco Systems, Inc.)
2 ntservice1; C:\Windows\System32\NETw5x32.dll [x]

========================== Drivers (Whitelisted) =============

3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [77968 2011-03-23] (Cisco Systems, Inc.)
3 asusgsb; C:\Windows\System32\drivers\asusgsb.sys [15232 2009-02-17] (ASUSTeK Computer Inc.)
3 atikmdag; C:\Windows\System32\DRIVERS\atikmdag.sys [5140480 2009-11-18] (ATI Technologies Inc.)
3 atkdisplf; C:\Windows\System32\drivers\ATKDispLowFilter.sys [30976 2009-02-17] (ASUSTeK Computer Inc.)
2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-04] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-04] (Avira GmbH)
3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2010-10-22] (AVM Berlin)
2 cvintdrv; C:\Windows\System32\Drivers\cvintdrv.sys [19552 2011-11-04] ()
3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [38400 2009-03-02] (Samsung Electronics Co., Ltd.)
3 dg_ssudbus; C:\Windows\System32\DRIVERS\ssudbus.sys [77624 2011-07-20] (DEVGURU Co., LTD.(www.devguru.co.kr))
4 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
1 EIO; C:\Windows\System32\DRIVERS\EIO.sys [14336 2011-07-27] (ASUSTeK Computer Inc.)
3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2010-10-22] (AVM GmbH)
3 fwlanusbn; C:\Windows\System32\DRIVERS\fwlanusbn.sys [586752 2010-10-22] (AVM GmbH)
3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.)
0 hotcore3; C:\Windows\System32\DRIVERS\hotcore3.sys [57112 2011-01-21] (Paragon Software Group)
3 Netaapl; C:\Windows\System32\DRIVERS\netaapl.sys [18432 2011-05-10] (Apple Inc.)
3 nipalfwedl; C:\Windows\System32\drivers\nipalfwedl.sys [11968 2011-06-29] (National Instruments Corporation)
0 NIPALK; C:\Windows\System32\drivers\nipalk.sys [584856 2011-06-29] (National Instruments Corporation)
3 nipalusbedl; C:\Windows\System32\drivers\nipalusbedl.sys [11968 2011-06-29] (National Instruments Corporation)
0 nipbcfk; C:\Windows\System32\drivers\nipbcfk.sys [15448 2010-03-24] (National Instruments Corporation)
0 PrecSim; C:\Windows\System32\DRIVERS\precsim.sys [69600 2002-05-22] (Engelmann GmbH)
3 Ser2pl; C:\Windows\System32\DRIVERS\ser2pl.sys [77824 2008-10-27] (Prolific Technology Inc.)
3 silabenm; C:\Windows\System32\DRIVERS\silabenm.sys [17920 2009-10-08] (Silicon Laboratories, Inc.)
3 silabser; C:\Windows\System32\DRIVERS\silabser.sys [63488 2009-10-08] (Silicon Laboratories)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [722416 2011-08-16] (Duplex Secure Ltd.)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [5120 2009-03-02] (Samsung Electronics)
3 ssudmdm; C:\Windows\System32\DRIVERS\ssudmdm.sys [181432 2011-07-20] (DEVGURU Co., LTD.(www.devguru.co.kr))
3 TVicPort; \??\C:\Windows\system32\DRIVERS\TVICPORT.SYS [14544 2005-03-30] (EnTech Taiwan)
1 UimBus; C:\Windows\System32\DRIVERS\UimBus.sys [40824 2011-01-21] (Windows (R) 2000 DDK provider)
1 Uim_IM; C:\Windows\System32\Drivers\Uim_IM.sys [381032 2011-01-21] (Paragon)
1 vflt; C:\Windows\System32\DRIVERS\vfilter.sys [17920 2010-09-02] (Shrew Soft Inc)
3 vnet; C:\Windows\System32\DRIVERS\virtualnet.sys [13824 2010-09-02] (Shrew Soft Inc)
3 vpnva; C:\Windows\System32\DRIVERS\vpnva.sys [19680 2011-03-23] (Cisco Systems, Inc.)
3 VSPerfDrv100; \??\C:\Program Files\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\VSPerfDrv100.sys [48128 2009-12-08] (Microsoft Corporation)
3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [195968 2010-08-31] (Jungo)

========================== NetSvcs (Whitelisted) ===========
NETSVC: rbfilter
NETSVC: SNC
NETSVC: cmuda
NETSVC: ntservice1
NETSVC: mcontrol
NETSVC: vmm

============ One Month Created Files and Folders ==============

2012-03-13 20:36 - 2012-03-13 21:31 - 2509058048 ____A C:\Users\motzer\Desktop\X17-59886.iso
2012-03-13 19:15 - 2012-03-13 20:25 - 0001594 ____A C:\Windows\VPNUnInstall.MIF
2012-03-13 19:12 - 2012-03-13 20:27 - 0000000 ____D C:\Users\motzer\AppData\Local\LogMeIn Hamachi
2012-03-13 19:12 - 2009-03-18 16:35 - 0026176 ___AH (LogMeIn, Inc.) C:\Windows\System32\hamachi.sys
2012-03-13 19:07 - 2012-03-13 20:28 - 0000000 ____D C:\Program Files\ShrewSoft
2012-03-13 19:07 - 2012-03-13 19:07 - 0000000 ____D C:\Users\motzer\Documents\Shrew Soft VPN
2012-03-13 18:30 - 2012-02-15 06:44 - 0826368 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-03-13 18:30 - 2012-02-15 05:22 - 0177152 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-03-13 18:30 - 2012-02-15 05:22 - 0024064 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-03-13 18:30 - 2012-01-25 06:44 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-03-13 18:30 - 2012-01-25 06:44 - 0057856 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-03-13 18:30 - 2012-01-25 06:40 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-03-13 01:12 - 2012-03-13 01:12 - 0165368 ____A C:\Windows\System32\GDIPFONTCACHEV1.DAT
2012-03-13 01:05 - 2012-03-13 01:46 - 0000000 ____D C:\Windows\System32\Shared Memory
2012-03-13 01:05 - 2012-03-13 01:05 - 0001054 ____A C:\Windows\PFRO.log
2012-03-13 01:03 - 2012-03-13 01:03 - 0003016 ____A C:\Users\motzer\Desktop\mbam-log-2012-03-13 (01-02-56).txt
2012-03-12 22:29 - 2012-03-13 21:54 - 0001400 ____A C:\Windows\setupact.log
2012-03-12 22:29 - 2012-03-12 22:29 - 0000000 ____A C:\Windows\setuperr.log
2012-03-12 22:01 - 2012-03-12 22:01 - 0001187 ____A C:\Users\motzer\Desktop\Troja.txt
2012-03-12 21:38 - 2012-03-12 21:38 - 0388608 ____A (Trend Micro Inc.) C:\Users\motzer\Desktop\HiJackThis204.exe
2012-03-12 21:33 - 2012-03-12 21:33 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Users\All Users\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\ProgramData\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-03-12 21:33 - 2011-12-10 15:24 - 0020464 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2012-03-12 21:28 - 2012-03-12 21:28 - 9502424 ____A (Malwarebytes Corporation                                    ) C:\Users\motzer\Desktop\mbam-setup-1.60.1.1000.exe
2012-03-12 21:19 - 2012-03-12 21:20 - 12410880 ____A C:\Users\motzer\Desktop\Ad-Aware96Install.msi
2012-03-12 21:17 - 2012-03-12 21:17 - 4435063 ____A (Swearware) C:\Users\motzer\Desktop\ComboFix.exe
2012-03-12 21:12 - 2012-03-12 21:12 - 0051570 ____A C:\Users\motzer\Documents\cc_20120312_211211.reg
2012-03-12 21:11 - 2012-03-12 21:11 - 0000000 ____D C:\Users\motzer\AppData\Local\Sunbelt Software
2012-03-12 21:10 - 2012-03-12 21:10 - 0002135 ____A C:\Users\Public\Desktop\CounterSpy.lnk
2012-03-12 21:10 - 2012-03-12 21:10 - 0000000 ____D C:\Program Files\Sunbelt Software
2012-03-12 21:07 - 2012-03-12 21:07 - 0000000 ____D C:\Windows\Downloaded Installations
2012-03-12 00:43 - 2012-03-12 00:43 - 0000000 ____D C:\Users\Public\Documents\National Instruments
2012-03-12 00:39 - 2012-03-12 20:56 - 0000000 __ASH C:\Windows\System32\dds_trash_log.cmd
2012-03-12 00:26 - 2012-03-13 01:03 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ihuw
2012-03-12 00:26 - 2012-03-12 00:45 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ygacva
2012-03-12 00:15 - 2012-03-12 00:17 - 0000000 ____D C:\Users\motzer\Documents\LabVIEW Data
2012-03-12 00:02 - 2012-03-12 00:02 - 0001039 ____A C:\Users\motzer\Desktop\National Instruments LabVIEW 2011.lnk
2012-03-12 00:01 - 2012-03-12 00:01 - 0001193 ____A C:\Users\All Users\Start Menu\Programs\Startup\NI Error Reporting.lnk
2012-03-11 23:58 - 2012-03-11 23:58 - 0000000 ____D C:\Windows\System32\cvirte
2012-03-11 23:57 - 2012-03-13 18:23 - 0000000 ____D C:\Program Files\Microsoft Silverlight
2012-03-11 23:56 - 2012-03-12 00:45 - 0000000 ____D C:\Program Files\National Instruments
2012-03-11 23:53 - 2012-03-12 20:58 - 0000000 ____D C:\Users\All Users\National Instruments
2012-03-11 23:53 - 2012-03-12 20:58 - 0000000 ____D C:\ProgramData\National Instruments
2012-03-11 23:51 - 2012-03-12 00:42 - 0000000 ____D C:\National Instruments Downloads
2012-02-26 22:31 - 2012-02-26 22:31 - 0000000 ____D C:\Program Files\Maxima-5.26.0
2012-02-24 02:32 - 2012-02-24 02:32 - 9705472 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 3695416 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dat
2012-02-24 02:32 - 2012-02-24 02:32 - 2382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-02-24 02:32 - 2012-02-24 02:32 - 1798656 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1792000 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1427456 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-02-24 02:32 - 2012-02-24 02:32 - 12282368 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1127424 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1103360 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0580608 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0434176 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0367104 ____A (Microsoft Corporation) C:\Windows\System32\html.iec
2012-02-24 02:32 - 2012-02-24 02:32 - 0353792 ____A (Microsoft Corporation) C:\Windows\System32\dxtmsft.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0353584 ____A (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0227840 ____A (Microsoft Corporation) C:\Windows\System32\ieaksie.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0223232 ____A (Microsoft Corporation) C:\Windows\System32\dxtrans.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0203776 ____A (Microsoft Corporation) C:\Windows\System32\webcheck.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0163840 ____A (Microsoft Corporation) C:\Windows\System32\ieakui.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0162304 ____A (Microsoft Corporation) C:\Windows\System32\msrating.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0161792 ____A (Microsoft Corporation) C:\Windows\System32\msls31.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0152064 ____A (Microsoft Corporation) C:\Windows\System32\wextract.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0150528 ____A (Microsoft Corporation) C:\Windows\System32\iexpress.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0130560 ____A (Microsoft Corporation) C:\Windows\System32\ieakeng.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0123392 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0118784 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0110592 ____A (Microsoft Corporation) C:\Windows\System32\IEAdvpack.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0101888 ____A (Microsoft Corporation) C:\Windows\System32\admparse.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0086528 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0078848 ____A (Microsoft Corporation) C:\Windows\System32\inseng.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0076800 ____A (Microsoft Corporation) C:\Windows\System32\SetIEInstalledDate.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0074752 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0074752 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0074240 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0072822 ____A C:\Windows\System32\ieuinit.inf
2012-02-24 02:32 - 2012-02-24 02:32 - 0072704 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0066048 ____A (Microsoft Corporation) C:\Windows\System32\icardie.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0063488 ____A (Microsoft Corporation) C:\Windows\System32\tdc.ocx
2012-02-24 02:32 - 2012-02-24 02:32 - 0054272 ____A (Microsoft Corporation) C:\Windows\System32\pngfilt.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0048640 ____A (Microsoft Corporation) C:\Windows\System32\mshtmler.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0041472 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0035840 ____A (Microsoft Corporation) C:\Windows\System32\imgutil.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0031744 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0023552 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0011776 ____A (Microsoft Corporation) C:\Windows\System32\mshta.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0010752 ____A (Microsoft Corporation) C:\Windows\System32\msfeedssync.exe
2012-02-18 01:22 - 2012-02-18 01:22 - 0002362 ____A C:\Users\motzer\Desktop\CBH Captcha Solver.exe.lnk
2012-02-18 01:22 - 2012-02-18 01:22 - 0000000 ____D C:\Program Files\Brotherhood Software
2012-02-18 01:21 - 2012-03-12 00:17 - 0000000 ____D C:\Users\motzer\AppData\Local\Captcha_Brotherhood
2012-02-16 21:25 - 2012-01-03 06:44 - 0478208 ____A (Microsoft Corporation) C:\Windows\System32\timedate.cpl
2012-02-16 21:25 - 2011-12-16 08:59 - 0690688 ____A (Microsoft Corporation) C:\Windows\System32\msvcrt.dll
2012-02-16 21:24 - 2012-01-14 04:48 - 2340864 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-02-16 21:24 - 2012-01-04 10:03 - 12868096 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll
2012-02-16 21:24 - 2012-01-04 10:03 - 0442880 ____A (Microsoft Corporation) C:\Windows\System32\ntshrui.dll
2012-02-12 14:45 - 2012-02-12 14:46 - 0000000 ____D C:\Program Files\iTunes
2012-02-12 14:45 - 2012-02-12 14:45 - 0000000 ____D C:\Program Files\iPod


============ 3 Months Modified Files and Folders ===============

2012-03-13 21:58 - 2012-03-13 21:58 - 0000000 ____D C:\FRST
2012-03-13 21:54 - 2012-03-12 22:29 - 0001400 ____A C:\Windows\setupact.log
2012-03-13 21:54 - 2011-05-25 12:41 - 1609175040 __ASH C:\hiberfil.sys
2012-03-13 21:54 - 2009-07-14 05:53 - 0000006 ___AH C:\Windows\Tasks\SA.DAT
2012-03-13 21:53 - 2011-05-25 12:48 - 1713040 ____A C:\Windows\WindowsUpdate.log
2012-03-13 21:31 - 2012-03-13 20:36 - 2509058048 ____A C:\Users\motzer\Desktop\X17-59886.iso
2012-03-13 20:28 - 2012-03-13 19:07 - 0000000 ____D C:\Program Files\ShrewSoft
2012-03-13 20:28 - 2009-07-14 03:37 - 0000000 ____D C:\Windows\System32\DriverStore
2012-03-13 20:27 - 2012-03-13 19:12 - 0000000 ____D C:\Users\motzer\AppData\Local\LogMeIn Hamachi
2012-03-13 20:25 - 2012-03-13 19:15 - 0001594 ____A C:\Windows\VPNUnInstall.MIF
2012-03-13 20:24 - 2011-06-24 20:33 - 0000000 ___RD C:\Users\motzer\Dropbox
2012-03-13 20:24 - 2011-06-24 20:31 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Dropbox
2012-03-13 20:01 - 2009-07-14 05:34 - 0022064 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-03-13 20:01 - 2009-07-14 05:34 - 0022064 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-03-13 19:19 - 2011-06-24 17:53 - 0001594 ____A C:\Windows\VPNInstall.MIF
2012-03-13 19:07 - 2012-03-13 19:07 - 0000000 ____D C:\Users\motzer\Documents\Shrew Soft VPN
2012-03-13 18:37 - 2011-05-25 20:21 - 0000000 ____D C:\Program Files\Mozilla Firefox
2012-03-13 18:34 - 2011-05-25 12:51 - 1612484 ____A C:\Windows\System32\PerfStringBackup.INI
2012-03-13 18:23 - 2012-03-11 23:57 - 0000000 ____D C:\Program Files\Microsoft Silverlight
2012-03-13 01:46 - 2012-03-13 01:05 - 0000000 ____D C:\Windows\System32\Shared Memory
2012-03-13 01:33 - 2011-08-22 12:57 - 0000000 ____D C:\Users\motzer\AppData\Local\Samsung
2012-03-13 01:33 - 2011-08-22 12:42 - 0000000 ____D C:\Users\All Users\Samsung
2012-03-13 01:33 - 2011-08-22 12:42 - 0000000 ____D C:\ProgramData\Samsung
2012-03-13 01:33 - 2011-05-25 15:12 - 0000000 ___HD C:\Program Files\InstallShield Installation Information
2012-03-13 01:12 - 2012-03-13 01:12 - 0165368 ____A C:\Windows\System32\GDIPFONTCACHEV1.DAT
2012-03-13 01:11 - 2011-05-25 15:39 - 0008224 ____A C:\Users\motzer\AppData\Local\GDIPFONTCACHEV1.DAT
2012-03-13 01:06 - 2009-07-14 05:33 - 0544032 ____A C:\Windows\System32\FNTCACHE.DAT
2012-03-13 01:05 - 2012-03-13 01:05 - 0001054 ____A C:\Windows\PFRO.log
2012-03-13 01:05 - 2009-07-14 03:37 - 0000000 ____D C:\Windows\Branding
2012-03-13 01:03 - 2012-03-13 01:03 - 0003016 ____A C:\Users\motzer\Desktop\mbam-log-2012-03-13 (01-02-56).txt
2012-03-13 01:03 - 2012-03-12 00:26 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ihuw
2012-03-12 22:29 - 2012-03-12 22:29 - 0000000 ____A C:\Windows\setuperr.log
2012-03-12 22:01 - 2012-03-12 22:01 - 0001187 ____A C:\Users\motzer\Desktop\Troja.txt
2012-03-12 21:38 - 2012-03-12 21:38 - 0388608 ____A (Trend Micro Inc.) C:\Users\motzer\Desktop\HiJackThis204.exe
2012-03-12 21:33 - 2012-03-12 21:33 - 0001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Users\All Users\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\ProgramData\Malwarebytes
2012-03-12 21:33 - 2012-03-12 21:33 - 0000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-03-12 21:28 - 2012-03-12 21:28 - 9502424 ____A (Malwarebytes Corporation                                    ) C:\Users\motzer\Desktop\mbam-setup-1.60.1.1000.exe
2012-03-12 21:20 - 2012-03-12 21:19 - 12410880 ____A C:\Users\motzer\Desktop\Ad-Aware96Install.msi
2012-03-12 21:17 - 2012-03-12 21:17 - 4435063 ____A (Swearware) C:\Users\motzer\Desktop\ComboFix.exe
2012-03-12 21:12 - 2012-03-12 21:12 - 0051570 ____A C:\Users\motzer\Documents\cc_20120312_211211.reg
2012-03-12 21:11 - 2012-03-12 21:11 - 0000000 ____D C:\Users\motzer\AppData\Local\Sunbelt Software
2012-03-12 21:10 - 2012-03-12 21:10 - 0002135 ____A C:\Users\Public\Desktop\CounterSpy.lnk
2012-03-12 21:10 - 2012-03-12 21:10 - 0000000 ____D C:\Program Files\Sunbelt Software
2012-03-12 21:07 - 2012-03-12 21:07 - 0000000 ____D C:\Windows\Downloaded Installations
2012-03-12 21:07 - 2011-09-15 22:09 - 0000000 ____D C:\Users\motzer\AppData\Roaming\TS3Client
2012-03-12 21:07 - 2011-08-04 13:50 - 0000000 ____D C:\Windows\Minidump
2012-03-12 21:07 - 2011-05-26 23:10 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Skype
2012-03-12 21:07 - 2011-05-25 13:40 - 0000000 ____D C:\Windows\Panther
2012-03-12 21:01 - 2011-07-28 11:31 - 0000000 ____D C:\Program Files\CCleaner
2012-03-12 20:58 - 2012-03-11 23:53 - 0000000 ____D C:\Users\All Users\National Instruments
2012-03-12 20:58 - 2012-03-11 23:53 - 0000000 ____D C:\ProgramData\National Instruments
2012-03-12 20:56 - 2012-03-12 00:39 - 0000000 __ASH C:\Windows\System32\dds_trash_log.cmd
2012-03-12 00:45 - 2012-03-12 00:26 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ygacva
2012-03-12 00:45 - 2012-03-11 23:56 - 0000000 ____D C:\Program Files\National Instruments
2012-03-12 00:44 - 2011-05-25 17:39 - 0000000 ____D C:\Program Files\Common Files\Merge Modules
2012-03-12 00:43 - 2012-03-12 00:43 - 0000000 ____D C:\Users\Public\Documents\National Instruments
2012-03-12 00:42 - 2012-03-11 23:51 - 0000000 ____D C:\National Instruments Downloads
2012-03-12 00:17 - 2012-03-12 00:15 - 0000000 ____D C:\Users\motzer\Documents\LabVIEW Data
2012-03-12 00:17 - 2012-02-18 01:21 - 0000000 ____D C:\Users\motzer\AppData\Local\Captcha_Brotherhood
2012-03-12 00:02 - 2012-03-12 00:02 - 0001039 ____A C:\Users\motzer\Desktop\National Instruments LabVIEW 2011.lnk
2012-03-12 00:01 - 2012-03-12 00:01 - 0001193 ____A C:\Users\All Users\Start Menu\Programs\Startup\NI Error Reporting.lnk
2012-03-11 23:58 - 2012-03-11 23:58 - 0000000 ____D C:\Windows\System32\cvirte
2012-03-09 23:58 - 2011-05-25 20:21 - 0000000 ____D C:\Program Files\JDownloader
2012-03-07 19:47 - 2009-07-14 03:37 - 0000000 ____D C:\Windows\Microsoft.NET
2012-03-02 21:02 - 2011-05-25 15:11 - 0000000 ____D C:\Users\motzer\AppData\Roaming\ICQ
2012-03-01 16:18 - 2011-07-15 16:07 - 0000000 ____D C:\Users\motzer\Documents\FinePrint-Dateien
2012-02-28 00:43 - 2011-06-24 20:32 - 0000997 ____A C:\Users\motzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
2012-02-26 22:31 - 2012-02-26 22:31 - 0000000 ____D C:\Program Files\Maxima-5.26.0
2012-02-25 01:32 - 2009-07-14 03:37 - 0000000 ____D C:\Windows\rescache
2012-02-24 13:16 - 2009-07-14 03:37 - 0000000 ____D C:\Windows\System32\de-DE
2012-02-24 02:32 - 2012-02-24 02:32 - 9705472 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 3695416 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dat
2012-02-24 02:32 - 2012-02-24 02:32 - 2382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-02-24 02:32 - 2012-02-24 02:32 - 1798656 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1792000 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1427456 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-02-24 02:32 - 2012-02-24 02:32 - 12282368 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1127424 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 1103360 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0580608 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0434176 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0367104 ____A (Microsoft Corporation) C:\Windows\System32\html.iec
2012-02-24 02:32 - 2012-02-24 02:32 - 0353792 ____A (Microsoft Corporation) C:\Windows\System32\dxtmsft.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0353584 ____A (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0227840 ____A (Microsoft Corporation) C:\Windows\System32\ieaksie.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0223232 ____A (Microsoft Corporation) C:\Windows\System32\dxtrans.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0203776 ____A (Microsoft Corporation) C:\Windows\System32\webcheck.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0163840 ____A (Microsoft Corporation) C:\Windows\System32\ieakui.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0162304 ____A (Microsoft Corporation) C:\Windows\System32\msrating.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0161792 ____A (Microsoft Corporation) C:\Windows\System32\msls31.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0152064 ____A (Microsoft Corporation) C:\Windows\System32\wextract.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0150528 ____A (Microsoft Corporation) C:\Windows\System32\iexpress.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0130560 ____A (Microsoft Corporation) C:\Windows\System32\ieakeng.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0123392 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0118784 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0110592 ____A (Microsoft Corporation) C:\Windows\System32\IEAdvpack.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0101888 ____A (Microsoft Corporation) C:\Windows\System32\admparse.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0086528 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0078848 ____A (Microsoft Corporation) C:\Windows\System32\inseng.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0076800 ____A (Microsoft Corporation) C:\Windows\System32\SetIEInstalledDate.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0074752 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0074752 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0074240 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0072822 ____A C:\Windows\System32\ieuinit.inf
2012-02-24 02:32 - 2012-02-24 02:32 - 0072704 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0066048 ____A (Microsoft Corporation) C:\Windows\System32\icardie.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0063488 ____A (Microsoft Corporation) C:\Windows\System32\tdc.ocx
2012-02-24 02:32 - 2012-02-24 02:32 - 0054272 ____A (Microsoft Corporation) C:\Windows\System32\pngfilt.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0048640 ____A (Microsoft Corporation) C:\Windows\System32\mshtmler.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0041472 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0035840 ____A (Microsoft Corporation) C:\Windows\System32\imgutil.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0031744 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0023552 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll
2012-02-24 02:32 - 2012-02-24 02:32 - 0011776 ____A (Microsoft Corporation) C:\Windows\System32\mshta.exe
2012-02-24 02:32 - 2012-02-24 02:32 - 0010752 ____A (Microsoft Corporation) C:\Windows\System32\msfeedssync.exe
2012-02-21 19:17 - 2011-05-25 15:49 - 0414368 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2012-02-20 00:22 - 2011-06-22 19:40 - 0000692 ____A C:\Users\motzer\Desktop\Kino.txt
2012-02-20 00:05 - 2011-05-25 15:51 - 0000000 ____D C:\Program Files\Mozilla Thunderbird
2012-02-18 01:22 - 2012-02-18 01:22 - 0002362 ____A C:\Users\motzer\Desktop\CBH Captcha Solver.exe.lnk
2012-02-18 01:22 - 2012-02-18 01:22 - 0000000 ____D C:\Program Files\Brotherhood Software
2012-02-17 19:25 - 2011-05-25 12:47 - 0000174 ___SH C:\Users\motzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
2012-02-17 01:48 - 2011-10-25 13:43 - 0000000 ____D C:\Users\All Users\Microsoft Help
2012-02-17 01:48 - 2011-10-25 13:43 - 0000000 ____D C:\ProgramData\Microsoft Help
2012-02-15 06:44 - 2012-03-13 18:30 - 0826368 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-02-15 05:22 - 2012-03-13 18:30 - 0177152 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-02-15 05:22 - 2012-03-13 18:30 - 0024064 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-02-12 15:35 - 2011-10-26 13:35 - 0000000 ____D C:\Users\motzer\AppData\Local\Deployment
2012-02-12 14:46 - 2012-02-12 14:45 - 0000000 ____D C:\Program Files\iTunes
2012-02-12 14:45 - 2012-02-12 14:45 - 0000000 ____D C:\Program Files\iPod
2012-02-12 14:45 - 2011-05-25 16:41 - 0000000 ____D C:\Program Files\Common Files\Apple
2012-02-06 18:40 - 2012-02-06 18:40 - 0000000 ____D C:\Users\motzer\Desktop\RT Vorbereitung
2012-01-27 17:22 - 2011-05-25 15:07 - 0000000 ____D C:\Program Files\Opera
2012-01-25 15:34 - 2011-05-26 23:10 - 0000000 ___RD C:\Program Files\Skype
2012-01-25 15:34 - 2011-05-26 23:09 - 0000000 ____D C:\Users\All Users\Skype
2012-01-25 15:34 - 2011-05-26 23:09 - 0000000 ____D C:\ProgramData\Skype
2012-01-25 06:44 - 2012-03-13 18:30 - 0129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-01-25 06:44 - 2012-03-13 18:30 - 0057856 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-01-25 06:40 - 2012-03-13 18:30 - 0008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-01-23 21:26 - 2012-01-23 20:53 - 0000798 ____A C:\Windows\Ulead32.ini
2012-01-23 21:26 - 2012-01-23 20:53 - 0000000 ____D C:\Windows\ULEAD.DAT
2012-01-23 20:54 - 2012-01-23 20:54 - 0000000 ____D C:\Program Files\iPhoto Plus 4
2012-01-23 20:53 - 2012-01-23 20:53 - 0000000 _RASH C:\MSDOS.SYS
2012-01-23 20:53 - 2012-01-23 20:53 - 0000000 _RASH C:\IO.SYS
2012-01-14 04:48 - 2012-02-16 21:24 - 2340864 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-01-14 00:31 - 2011-07-06 11:19 - 0001106 ____A C:\Users\motzer\Desktop\Zitate.txt
2012-01-13 15:59 - 2011-05-25 16:42 - 0017408 ____A C:\Users\motzer\AppData\Local\WebpageIcons.db
2012-01-13 14:57 - 2011-10-10 23:26 - 0000000 ____D C:\Users\motzer\Documents\Inventor
2012-01-12 13:25 - 2011-10-10 20:07 - 0000000 ____D C:\Users\motzer\AppData\Roaming\toolplugin
2012-01-10 17:05 - 2011-09-20 01:50 - 0000000 ____D C:\Users\motzer\Documents\MATLAB
2012-01-09 18:18 - 2011-05-25 16:43 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Apple Computer
2012-01-09 18:15 - 2012-01-09 18:13 - 0000000 ____D C:\Users\motzer\AppData\Roaming\DVDVideoSoftIEHelpers
2012-01-09 18:15 - 2012-01-09 18:13 - 0000000 ____D C:\Users\motzer\AppData\Roaming\DVDVideoSoft
2012-01-09 18:15 - 2011-05-26 19:19 - 0000000 ____D C:\Users\motzer\Documents\DVDVideoSoft
2012-01-09 18:15 - 2011-05-26 19:18 - 0000000 ____D C:\Program Files\DVDVideoSoft
2012-01-09 18:15 - 2011-05-26 19:18 - 0000000 ____D C:\Program Files\Common Files\DVDVideoSoft
2012-01-09 18:09 - 2012-01-09 18:09 - 0000000 ____D C:\Users\motzer\Documents\FILSHtray
2012-01-09 18:09 - 2012-01-09 18:09 - 0000000 ____D C:\Users\motzer\AppData\Local\FILSH_Media_GmbH
2012-01-04 10:03 - 2012-02-16 21:24 - 12868096 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll
2012-01-04 10:03 - 2012-02-16 21:24 - 0442880 ____A (Microsoft Corporation) C:\Windows\System32\ntshrui.dll
2012-01-03 06:44 - 2012-02-16 21:25 - 0478208 ____A (Microsoft Corporation) C:\Windows\System32\timedate.cpl
2011-12-20 14:11 - 2011-12-20 14:11 - 0055904 ____A (National Instruments Corporation) C:\Windows\System32\XSpyDll.dll
2011-12-20 13:16 - 2011-12-20 13:16 - 0378064 ____A (National Instruments Corporation) C:\Windows\System32\niemca2l.dll
2011-12-16 08:59 - 2012-02-16 21:25 - 0690688 ____A (Microsoft Corporation) C:\Windows\System32\msvcrt.dll

========================= Known DLLs (Whitelisted) ============


========================= Bamital & volsnap Check ============

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\User32.dll
[2009-07-14 00:24] - [2009-07-14 02:16] - 0811520 ____A (Microsoft Corporation) 34B7E222E81FAFA885F0C5F2CFA56861

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

========================= Memory info ====================== 

Percentage of memory in use: 22%
Total physical RAM: 2046.18 MB
Available physical RAM: 1585.79 MB
Total Pagefile: 2046.18 MB
Available Pagefile: 1588.33 MB
Total Virtual: 2047.88 MB
Available Virtual: 1958.29 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:222.78 GB) (Free:130.55 GB) NTFS ==>[Drive with boot components (obtanied from BCD)]
2 Drive d: (DATAPART1) (Fixed) (Total:232.83 GB) (Free:54.01 GB) NTFS
3 Drive e: (Elektronik) (Fixed) (Total:10 GB) (Free:6.74 GB) NTFS
5 Drive g: (GSP1RMCPRFRER_DE_DVD) (CDROM) (Total:2.34 GB) (Free:0 GB) UDF
10 Drive l: () (Removable) (Total:0.94 GB) (Free:0.94 GB) FAT
11 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          232 GB      0 B         
  Datentr„ger 1    Online          232 GB      0 B         
  Datentr„ger 2    Kein Medium        0 B      0 B         
  Datentr„ger 3    Kein Medium        0 B      0 B         
  Datentr„ger 4    Kein Medium        0 B      0 B         
  Datentr„ger 5    Kein Medium        0 B      0 B         
  Datentr„ger 6    Online          965 MB      0 B         

Partitions of Disk 0:
===============

  Partition ###  Typ               Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    OEM                 54 MB    31 KB
  Partition 2    Prim„r              10 GB    55 MB
  Partition 3    Prim„r             222 GB    10 GB

======================================================================================================

Disk: 0
Partition 1
Typ      : DE
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 10                     FAT    Partition     54 MB  Fehlerfre  Versteck

======================================================================================================

Disk: 0
Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     E   Elektronik   NTFS   Partition     10 GB  Fehlerfre          

======================================================================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     C                NTFS   Partition    222 GB  Fehlerfre          

======================================================================================================

Partitions of Disk 1:
===============

  Partition ###  Typ               Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r             232 GB  1024 KB

======================================================================================================

Disk: 1
Partition 1
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4     D   DATAPART1    NTFS   Partition    232 GB  Fehlerfre          

======================================================================================================

Partitions of Disk 2:
===============

Auf diesem Datentr„ger sind keine Partitionen, die angezeigt werden k”nnen, vorhanden.

======================================================================================================

Partitions of Disk 3:
===============

Auf diesem Datentr„ger sind keine Partitionen, die angezeigt werden k”nnen, vorhanden.

======================================================================================================

Partitions of Disk 4:
===============

Auf diesem Datentr„ger sind keine Partitionen, die angezeigt werden k”nnen, vorhanden.

======================================================================================================

Partitions of Disk 5:
===============

Auf diesem Datentr„ger sind keine Partitionen, die angezeigt werden k”nnen, vorhanden.

======================================================================================================

Partitions of Disk 6:
===============

  Partition ###  Typ               Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r             962 MB  1788 KB

======================================================================================================

Disk: 6
Partition 1
Typ      : 06
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 9     L                FAT    Wechselmed   962 MB  Fehlerfre          

======================================================================================================

==========================================================

Last Boot: 2012-03-10 00:57

======================= End Of Log ==========================

mfg motzer

Psychotic · 14.03.2012, 00:02

Da hast du ja schon ganz schön rumgefroscht - insbesonder Combofix ist ein sehr mächtiges Tool, welches man niemals ausführen sollte, wenn man nicht weiß, was man tut!

Lass es mich dennoch versuchen...

Schritt 1: Fix mit FRST

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\motzer\...\Run: [{91419E33-D9AC-2F4F-9DDB-0A31B337FF79}] C:\Users\motzer\AppData\Roaming\Ihuw\ecnoni.exe [x]
Winlogon\Notify\lkapoer: 

2012-03-12 00:26 - 2012-03-13 01:03 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ihuw
2012-03-12 00:26 - 2012-03-12 00:45 - 0000000 ____D C:\Users\motzer\AppData\Roaming\Ygacva

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2: ComboFix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3: TDSS-Killer (Scan)

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 4: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

motzerrobo · 14.03.2012, 21:29

Hallo Marius,

also vorab ich habe die Tools wie Combofix nur runtergeladen jedoch nie geöffnet, da ich hier im Forum schon gelesen hatte, dass man sie erst nach Aufforderung nutzen sollte - von daher nur halb rumgefroscht =)

So also Fix mit FRST hat geklappt.

Combofix klappt aber irgendwie nicht - ich starte und das Tool erstellt einen Wiederherstellungspunkt geht dann über zum Scan - und dann ist Ende

ich habe gestern 5h scannen lassen bis ich dachte "Die 10 Minuten sind wohl selbst bei meiner Kiste vorbei"

das bleibt so stehen der Cursor blinkt ....

Habe dann heute als ich von der Uni kam nochmal getestet beim Hochfahren kam dann diese Meldung ich habe auf "Ja" geklickt und dann nochmal versucht mit Combofix zu scannen und jetzt sind wieder 2h vergangen und nichts passiert. Worran kann es liegen ?

Ich habe Antivir deaktiviert aber er meckert trotzdem beim Start von Combofix - habe ich es vielleicht nicht komplett "ausgeschaltet" ?

Und jetzt rödelt der Rechner wie verrückt CPU Auslastung bei über 50% und der Lüfter auf volllast - selbst nach erneutem Start. Daher hier nochmal Resourcenmonitor

bitte um weitere Anweisungen.

mfg
motzer

Psychotic · 14.03.2012, 22:06

Dann ist die Combofix.exe also auch schon länger am System?

Starte Windows im abgesicherten Modus mit Netzwerktreibern, lösche die vorhandene combofix.exe und lade dir eine neue von hier herunter.

Starte sie per Rechtsklick-->Als Administrator ausführen.

Poste das logfile/berichte!

Weiterleitung nach google Suche + amazon Daten ausgepäht

Log-Analyse und Auswertung: Weiterleitung nach google Suche + amazon Daten ausgepäht