Windows Trojaner

Franz-F · 25.04.2012, 17:01

Hallo,

da ich bei euch anscheinend hier richtig bin, mein anliegen:

Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem geblockt!Durch das Besuchen von Seiten mit infizierten und pornographischen Inhalten ist das Computersystem an einer kritischen Grenze angekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können.
Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig vor Virus und Schadprogrammen, stabilisiert ihr Computersystem und verhindert den Datenverlust....

Desktop wird gesperrt, das ganze tritt bei meinem Netbook auf (kein Laufwerk)
-WinXp Prof Sp2

Abgesicherter Modus ist nicht möglich.

Aktuell poste ich von meinem Desktop-PC.

Das ganze resultiert anscheinen aus einer Rechnungsmail.

Kann mir jemand helfen?

Gruß
Franz

markusg · 25.04.2012, 17:32

hi
kannst du die mail weiterleiten:
http://markusg.trojaner-board.de
kann nichts dabie passieren :-)
Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht
mehr vorhanden sein.

Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
Solltest
Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere
es.
Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".

Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken

Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).

Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke
im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device
auswählen)

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt
wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt
und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste
den Inhalt von C:\OTL.Txt und Extras.Txt.

Franz-F · 25.04.2012, 18:41

Hallo,

otl.txt wurde erstellt, extras.txt war nicht zu finden.

Code:

ATTFilter

OTL logfile created on: 4/25/2012 8:18:44 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1,013.00 Mb Total Physical Memory | 837.00 Mb Available Physical Memory | 83.00% Memory free
901.00 Mb Paging File | 839.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9.77 Gb Total Space | 0.03 Gb Free Space | 0.27% Space Free | Partition Type: NTFS
Drive D: | 64.75 Gb Total Space | 48.64 Gb Free Space | 75.12% Space Free | Partition Type: NTFS
Drive X: | 3.67 Gb Total Space | 3.27 Gb Free Space | 89.03% Space Free | Partition Type: FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/11/30 16:08:04 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto] -- D:\Programme\Java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2010/07/04 14:07:40 | 000,238,952 | ---- | M] (Teruten) [Auto] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2009/07/30 15:20:04 | 000,144,752 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
SRV - [2008/02/21 18:45:40 | 000,159,744 | ---- | M] () [Auto] -- C:\Programme\System Control Manager\MSIService.exe -- (Micro Star SCM)
SRV - [2004/02/24 11:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) [Auto] -- C:\Programme\Sygate\SPF\Smc.exe -- (SmcService)
SRV - [2002/12/31 08:00:00 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2010/06/14 04:32:54 | 000,036,608 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010/04/26 22:25:16 | 000,123,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ss_bmdm.sys -- (ss_bmdm)
DRV - [2010/04/26 22:25:16 | 000,098,432 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ss_bbus.sys -- (ss_bbus) SAMSUNG USB Mobile Device (WDM)
DRV - [2010/04/26 22:25:16 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ss_bmdfl.sys -- (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter)
DRV - [2009/07/28 14:01:26 | 000,069,480 | ---- | M] (TOSHIBA Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)
DRV - [2009/07/28 12:38:00 | 000,049,016 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)
DRV - [2009/07/24 05:31:58 | 000,021,608 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)
DRV - [2009/07/07 15:38:34 | 000,168,936 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)
DRV - [2009/06/19 03:57:42 | 000,059,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)
DRV - [2009/06/17 05:59:46 | 000,046,984 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)
DRV - [2009/06/11 08:05:00 | 000,036,992 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - [2009/05/20 04:23:36 | 000,074,368 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)
DRV - [2008/06/10 12:08:00 | 000,156,160 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - [2008/05/07 14:21:40 | 004,739,072 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/01/03 17:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/11/15 16:18:20 | 000,572,416 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rt2860.sys -- (RT80x86)
DRV - [2004/02/02 05:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004/02/02 05:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\Teefer.sys -- (Teefer)
DRV - [2004/02/02 05:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto] -- C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys -- (wg3n)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Programme\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\jqs@sun.com: D:\Programme\Java\lib\deploy\jqs\ff [2011/11/30 16:08:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Components: D:\Programme\Thunderbird\components [2011/11/30 04:44:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Plugins: D:\Programme\Thunderbird\plugins
 
[2011/11/30 04:45:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
File not found (No name found) -- 
[2012/03/23 14:16:07 | 000,000,000 | ---D | M] (MinimizeToTray revived (MinTrayR)) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\THUNDERBIRD\PROFILES\9Q0TDHBW.DEFAULT\EXTENSIONS\MINTRAYR@TN123.ATH.CX
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\THUNDERBIRD\PROFILES\9Q0TDHBW.DEFAULT\EXTENSIONS\TBTESTPILOT@LABS.MOZILLA.COM.XPI
 
O1 HOSTS File: ([2002/12/31 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [ITSecMng] C:\Programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International  CO., LTD.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKU\Administrator_ON_C..\Run: [2879263E] C:\WINDOWS\system32\0F08C7302879263E3070.exe (THHiq)
O4 - HKU\Administrator_ON_C..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\Administrator_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Mozilla Thunderbird.lnk = D:\Programme\Thunderbird\thunderbird.exe (Mozilla Messaging)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMBalloonTip = 0
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm ()
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm ()
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm ()
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm ()
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm ()
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {813A45F9-744F-435F-A815-19E2DF35A9D8} hxxp://www.mediapromote.de/download/o2cPlayerAC/o2cplayerac.cab (O2C-Player - area constructor view (ELECO Software GmbH))
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\0F08C7302879263E3070.exe) - C:\WINDOWS\system32\0F08C7302879263E3070.exe (THHiq)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop BackupWallPaper: 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/11/30 03:32:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
O33 - MountPoints2\{f84a33ee-3bc7-11e1-9baa-0015afbc251b}\Shell - "" = AutoRun
O33 - MountPoints2\{f84a33ee-3bc7-11e1-9baa-0015afbc251b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f84a33ee-3bc7-11e1-9baa-0015afbc251b}\Shell\AutoRun\command - "" = E:\iStudio.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/25 00:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wwffp
[2012/04/25 00:48:23 | 000,067,072 | -H-- | C] (THHiq) -- C:\WINDOWS\System32\0F08C7302879263E3070.exe
[2012/04/25 00:48:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Realtec
[2012/04/18 15:05:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Geckofx
[2012/04/18 14:40:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\SMA Update
[2012/04/17 14:40:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
[2012/04/17 14:37:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Bluetooth
[2012/04/17 14:37:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TOSHIBA
[2012/04/17 14:36:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Toshiba
[2012/04/17 14:32:45 | 000,168,936 | ---- | C] (TOSHIBA CORPORATION) -- C:\WINDOWS\System32\drivers\tosrfbd.sys
[2012/04/17 14:32:45 | 000,074,368 | ---- | C] (TOSHIBA Corporation.) -- C:\WINDOWS\System32\drivers\Tosrfhid.sys
[2012/04/17 14:32:45 | 000,049,016 | ---- | C] (TOSHIBA CORPORATION) -- C:\WINDOWS\System32\drivers\tosrfusb.sys
[2012/04/17 14:32:44 | 000,036,992 | ---- | C] (TOSHIBA Corporation) -- C:\WINDOWS\System32\drivers\tosrfbnp.sys
[2012/04/17 14:32:43 | 000,069,480 | ---- | C] (TOSHIBA Corporation) -- C:\WINDOWS\System32\drivers\tosrfcom.sys
[2012/04/17 14:32:43 | 000,059,888 | ---- | C] (TOSHIBA Corporation) -- C:\WINDOWS\System32\drivers\TosRfSnd.sys
[2012/04/17 14:32:43 | 000,021,608 | ---- | C] (TOSHIBA Corporation.) -- C:\WINDOWS\System32\drivers\tosrfnds.sys
[2012/04/17 14:32:42 | 000,046,984 | ---- | C] (TOSHIBA Corporation) -- C:\WINDOWS\System32\drivers\tosporte.sys
[2012/04/17 14:32:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth
[2012/04/17 14:32:21 | 000,000,000 | ---D | C] -- C:\Programme\Toshiba
[2012/04/17 14:31:32 | 000,000,000 | ---D | C] -- C:\Hama
[2012/04/17 14:23:41 | 000,154,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\irftp.exe
[2012/04/17 14:23:40 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wshirda.dll
[2012/04/15 13:28:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SMA
[2012/04/15 13:28:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SMA
[2012/04/15 13:28:13 | 000,000,000 | ---D | C] -- C:\Programme\SMA
[2012/04/15 13:27:44 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2012/04/15 13:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SMA
[2012/04/01 13:13:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IrfanView
[2012/04/01 13:10:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2012/04/01 12:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular
[2012/04/01 12:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012/04/01 12:44:24 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular
[2012/04/01 12:40:14 | 000,018,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2002/12/31 08:00:00 | 000,016,384 | ---- | C] ( ) -- C:\WINDOWS\System32\iniman.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/25 11:34:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/04/25 08:05:36 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/04/25 08:04:56 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/04/25 08:03:08 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/04/25 08:01:04 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/04/25 06:05:36 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/04/25 00:48:23 | 000,067,072 | -H-- | M] (THHiq) -- C:\WINDOWS\System32\0F08C7302879263E3070.exe
[2012/04/24 21:57:04 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/24 21:56:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/24 15:20:00 | 000,001,242 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1214440339-1085031214-1177238915-500UA.job
[2012/04/24 06:20:01 | 000,001,190 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1214440339-1085031214-1177238915-500Core.job
[2012/04/21 05:37:06 | 000,405,686 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/04/21 05:37:06 | 000,392,630 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/04/21 05:37:06 | 000,070,982 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/04/21 05:37:06 | 000,058,930 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/04/18 14:13:00 | 004,153,069 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\STP8-17TL-IA-IDE112030.pdf
[2012/04/17 14:36:42 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
[2012/04/17 14:34:45 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
[2012/04/17 14:32:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth
[2012/04/16 12:52:59 | 000,001,125 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2012/04/16 12:37:40 | 000,016,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/04/16 12:37:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012/04/15 13:28:26 | 000,000,791 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sunny Explorer.lnk
[2012/04/15 13:28:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SMA
[2012/04/14 14:27:24 | 000,002,402 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2012/04/14 14:27:23 | 000,002,424 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Google Chrome.lnk
[2012/04/13 12:23:13 | 000,017,205 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\$(KGrHqEOKisE5,Vu2LvNBOkz4GnwoQ~~_19.JPG
[2012/04/11 14:15:56 | 000,014,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\EasyCT.ini
[2012/04/11 14:15:55 | 000,007,235 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\PV2012.eca
[2012/04/11 14:14:32 | 000,000,192 | ---- | M] () -- C:\WINDOWS\EasyCT.INI
[2012/04/11 03:01:48 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/04/01 16:20:14 | 000,101,435 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_ESt2011_Duschek_Andree_und_Duschek_Kathrin.pdf
[2012/04/01 16:19:56 | 000,157,501 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ESt2011_Duschek_Andree_und_Duschek_Kathrin.elfo
[2012/04/01 16:18:29 | 000,217,296 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Photovoltaik.mdi
[2012/04/01 16:18:21 | 000,037,284 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Photovoltaik.pdf
[2012/04/01 16:18:04 | 000,058,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\EUER2011_Photovoltaik.elfo
[2012/04/01 16:03:44 | 000,196,992 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Warenautomat.mdi
[2012/04/01 16:03:20 | 000,033,347 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\EUER2011_Warenautomat.elfo
[2012/04/01 16:03:20 | 000,020,786 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Warenautomat.pdf
[2012/04/01 16:01:42 | 000,236,810 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_USt2011_Duschek.mdi
[2012/04/01 16:01:30 | 000,021,454 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_USt2011_Duschek.pdf
[2012/04/01 16:01:14 | 000,033,754 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\USt2011_Duschek.elfo
[2012/04/01 13:19:32 | 000,000,459 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Eigene Bilder.lnk
[2012/04/01 13:19:05 | 000,000,275 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Datenträger (D).lnk
[2012/04/01 12:45:32 | 000,000,854 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012/04/01 12:45:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/25 06:05:36 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/04/25 06:05:19 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/04/18 14:13:06 | 004,153,069 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\STP8-17TL-IA-IDE112030.pdf
[2012/04/17 14:34:45 | 000,000,687 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
[2012/04/15 13:28:26 | 000,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sunny Explorer.lnk
[2012/04/13 12:23:17 | 000,017,205 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\$(KGrHqEOKisE5,Vu2LvNBOkz4GnwoQ~~_19.JPG
[2012/04/01 16:22:09 | 000,020,786 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Warenautomat.pdf
[2012/04/01 16:20:14 | 000,101,435 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_ESt2011_Duschek_Andree_und_Duschek_Kathrin.pdf
[2012/04/01 16:18:29 | 000,217,296 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Photovoltaik.mdi
[2012/04/01 16:18:21 | 000,037,284 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Photovoltaik.pdf
[2012/04/01 16:03:44 | 000,196,992 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_EUER2011_Warenautomat.mdi
[2012/04/01 16:01:41 | 000,236,810 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_USt2011_Duschek.mdi
[2012/04/01 16:01:30 | 000,021,454 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\komprimierte Steuererklärung_USt2011_Duschek.pdf
[2012/04/01 15:55:19 | 000,033,754 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\USt2011_Duschek.elfo
[2012/04/01 14:35:50 | 000,033,347 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\EUER2011_Warenautomat.elfo
[2012/04/01 14:33:17 | 000,058,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\EUER2011_Photovoltaik.elfo
[2012/04/01 13:34:20 | 000,157,501 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ESt2011_Duschek_Andree_und_Duschek_Kathrin.elfo
[2012/04/01 13:19:34 | 000,000,459 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Eigene Bilder.lnk
[2012/04/01 13:19:05 | 000,000,275 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Datenträger (D).lnk
[2012/04/01 12:45:32 | 000,000,854 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012/03/11 06:24:40 | 011,541,956 | ---- | C] () -- C:\WINDOWS\System32\United Arts Limited_meinxxl_uninstaller.exe
[2012/02/14 16:58:37 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2012/02/14 16:58:37 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2012/02/14 16:58:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc
[2011/11/30 16:28:16 | 000,000,192 | ---- | C] () -- C:\WINDOWS\EasyCT.INI
[2011/11/30 04:25:50 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011/11/30 04:25:49 | 000,016,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/11/30 03:58:31 | 006,184,960 | ---- | C] () -- C:\WINDOWS\System32\RTS5121icon.dll
[2011/11/30 03:58:07 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2011/11/30 03:56:10 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2011/11/30 03:46:09 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011/11/30 03:44:19 | 000,000,100 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2011/11/30 03:43:34 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\pxhpinst.exe
[2011/11/30 03:43:27 | 000,001,125 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2011/11/30 03:39:48 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/11/30 03:28:03 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011/11/30 03:20:15 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/11/30 03:18:44 | 000,162,728 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/10/25 12:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2007/06/19 09:25:08 | 000,000,022 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\60a7806a-0eea-424c-a464-20f4730cd631
[2004/06/06 07:53:42 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2004/06/05 07:56:16 | 000,679,936 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2004/01/27 08:13:54 | 000,421,888 | ---- | C] () -- C:\WINDOWS\System32\OpenQuicktimeLib.dll
[2002/12/31 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/12/31 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002/12/31 08:00:00 | 000,405,686 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002/12/31 08:00:00 | 000,392,630 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002/12/31 08:00:00 | 000,364,032 | ---- | C] () -- C:\WINDOWS\System32\chklnks.exe
[2002/12/31 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002/12/31 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002/12/31 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002/12/31 08:00:00 | 000,216,091 | ---- | C] () -- C:\WINDOWS\System32\addiag.exe
[2002/12/31 08:00:00 | 000,213,051 | ---- | C] () -- C:\WINDOWS\System32\SPCheck.exe
[2002/12/31 08:00:00 | 000,124,416 | ---- | C] () -- C:\WINDOWS\System32\adlb.exe
[2002/12/31 08:00:00 | 000,102,912 | ---- | C] () -- C:\WINDOWS\System32\winpolicies.exe
[2002/12/31 08:00:00 | 000,102,912 | ---- | C] () -- C:\WINDOWS\System32\sidwkr.dll
[2002/12/31 08:00:00 | 000,094,720 | ---- | C] () -- C:\WINDOWS\System32\dskprobe.exe
[2002/12/31 08:00:00 | 000,093,696 | ---- | C] () -- C:\WINDOWS\System32\cleanspl.exe
[2002/12/31 08:00:00 | 000,089,088 | ---- | C] () -- C:\WINDOWS\System32\ssdformat.exe
[2002/12/31 08:00:00 | 000,089,088 | ---- | C] () -- C:\WINDOWS\System32\printdriverinfo.exe
[2002/12/31 08:00:00 | 000,084,992 | ---- | C] () -- C:\WINDOWS\System32\krt.exe
[2002/12/31 08:00:00 | 000,083,968 | ---- | C] () -- C:\WINDOWS\System32\tccom.exe
[2002/12/31 08:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2002/12/31 08:00:00 | 000,081,408 | ---- | C] () -- C:\WINDOWS\System32\rassrvmon.exe
[2002/12/31 08:00:00 | 000,070,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002/12/31 08:00:00 | 000,058,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002/12/31 08:00:00 | 000,052,736 | ---- | C] () -- C:\WINDOWS\System32\ifilttst.exe
[2002/12/31 08:00:00 | 000,049,664 | ---- | C] () -- C:\WINDOWS\System32\xcacls.exe
[2002/12/31 08:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\bindiff.exe
[2002/12/31 08:00:00 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\rpccfg.exe
[2002/12/31 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002/12/31 08:00:00 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\reportgen.exe
[2002/12/31 08:00:00 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\snmputilg.exe
[2002/12/31 08:00:00 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\setprinter.exe
[2002/12/31 08:00:00 | 000,040,448 | ---- | C] () -- C:\WINDOWS\System32\rpingc.exe
[2002/12/31 08:00:00 | 000,040,448 | ---- | C] () -- C:\WINDOWS\System32\confdisk.exe
[2002/12/31 08:00:00 | 000,035,328 | ---- | C] () -- C:\WINDOWS\System32\intfiltr.exe
[2002/12/31 08:00:00 | 000,034,816 | ---- | C] () -- C:\WINDOWS\System32\mqcatch.exe
[2002/12/31 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002/12/31 08:00:00 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\rpcping.exe
[2002/12/31 08:00:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\showpriv.exe
[2002/12/31 08:00:00 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\ntrights.exe
[2002/12/31 08:00:00 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\instsrv.exe
[2002/12/31 08:00:00 | 000,031,744 | ---- | C] () -- C:\WINDOWS\System32\regview.exe
[2002/12/31 08:00:00 | 000,031,232 | ---- | C] () -- C:\WINDOWS\System32\mqcast.exe
[2002/12/31 08:00:00 | 000,030,152 | ---- | C] () -- C:\WINDOWS\System32\wins.dll
[2002/12/31 08:00:00 | 000,029,696 | ---- | C] () -- C:\WINDOWS\System32\rpings.exe
[2002/12/31 08:00:00 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\klist.exe
[2002/12/31 08:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\chknic.exe
[2002/12/31 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002/12/31 08:00:00 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\instexnt.exe
[2002/12/31 08:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2002/12/31 08:00:00 | 000,022,528 | ---- | C] () -- C:\WINDOWS\System32\hlscan.exe
[2002/12/31 08:00:00 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\rqs.exe
[2002/12/31 08:00:00 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\clusfileport.dll
[2002/12/31 08:00:00 | 000,016,896 | ---- | C] () -- C:\WINDOWS\System32\splinfo.exe
[2002/12/31 08:00:00 | 000,016,896 | ---- | C] () -- C:\WINDOWS\System32\diskuse.exe
[2002/12/31 08:00:00 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\showacls.exe
[2002/12/31 08:00:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\perms.exe
[2002/12/31 08:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\memmonitor.exe
[2002/12/31 08:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\getcm.exe
[2002/12/31 08:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\diruse.exe
[2002/12/31 08:00:00 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\setx.exe
[2002/12/31 08:00:00 | 000,009,728 | ---- | C] () -- C:\WINDOWS\System32\mcast.exe
[2002/12/31 08:00:00 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\instcm.exe
[2002/12/31 08:00:00 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\srvany.exe
[2002/12/31 08:00:00 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\rqc.exe
[2002/12/31 08:00:00 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\volperf.dll
[2002/12/31 08:00:00 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\crutredir.dll
[2002/12/31 08:00:00 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\autoexnt.exe
[2002/12/31 08:00:00 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\pathman.exe
[2002/12/31 08:00:00 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\depends.dll
[2002/12/31 08:00:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/12/31 08:00:00 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\ifmember.exe
[2002/12/31 08:00:00 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\creatfil.exe
[2002/12/31 08:00:00 | 000,005,120 | ---- | C] () -- C:\WINDOWS\System32\srvcheck.exe
[2002/12/31 08:00:00 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\permcopy.exe
[2002/12/31 08:00:00 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\MachLink.exe
[2002/12/31 08:00:00 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\logtime.exe
[2002/12/31 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002/12/31 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2002/12/31 08:00:00 | 000,004,096 | ---- | C] () -- C:\WINDOWS\System32\getsid.exe
[2002/12/31 08:00:00 | 000,002,560 | ---- | C] () -- C:\WINDOWS\System32\servmess.dll
[2002/12/31 08:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2002/12/31 08:00:00 | 000,001,627 | ---- | C] () -- C:\WINDOWS\System32\memtriage.ini
[2002/12/31 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002/12/31 08:00:00 | 000,000,198 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2002/12/31 08:00:00 | 000,000,177 | ---- | C] () -- C:\WINDOWS\System32\uddidataexport.exe.config
[2002/12/31 08:00:00 | 000,000,177 | ---- | C] () -- C:\WINDOWS\System32\uddiconfig.exe.config
[2002/12/31 08:00:00 | 000,000,177 | ---- | C] () -- C:\WINDOWS\System32\uddicatschemeeditor.exe.config
[2001/09/17 08:20:02 | 000,009,216 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
 
========== LOP Check ==========
 
[2011/11/30 04:57:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avant Browser
[2012/04/01 13:11:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2012/04/01 13:13:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IrfanView
[2012/02/14 16:58:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung
[2012/04/15 13:21:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SMA
[2011/11/30 04:44:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2012/04/17 14:37:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TOSHIBA
[2012/04/25 00:48:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wwffp
[2011/11/30 16:42:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EasyCash&Tax
[2012/04/01 12:45:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012/03/11 06:28:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\M-Photo
[2011/12/24 07:27:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2012/02/14 16:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2012/04/15 13:28:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SMA
[2012/04/17 14:40:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
 
========== Purity Check ==========
 
 
< End of report >

Vielen dank schonmal für deine Hilfe....

Was kann ich machen?

Gruß
Franz

markusg · 25.04.2012, 18:48

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

ATTFilter

:OTL
O4 - HKU\Administrator_ON_C..\Run: [2879263E] C:\WINDOWS\system32\0F08C7302879263E3070.exe (THHiq)
O4 - HKU\Administrator_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\0F08C7302879263E3070.exe) - C:\WINDOWS\system32\0F08C7302879263E3070.exe (THHiq)
:Files
C:\WINDOWS\system32\0F08C7302879263E3070.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Realtec
:Commands
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die

+ E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Franz-F · 25.04.2012, 19:15

Hallo,

habe den fix als fix.txt gespeichert und auf den USB Stick geladen,

-von USB Gebootet
-Doppelklick OTLPE
-alles wie oben beschrieben
-Run Fix
-Do you want load fix from a file --> yes
-fix.txt ausgewählt

der text wird dann unten in das fenster geladen, aber es passiert nichts weiter.... man kann nicht scrollen, run fix lässt sich auch nicht klicken. was mach ich falsch?

Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

Nun aller wieder i.O.?

Gruß
Franz

markusg · 25.04.2012, 19:32

danke fürs hochladen, teste jetzt ob deine dateien, wie bilder zb, verschlüsselt sind

Franz-F · 25.04.2012, 19:34

Hallo,

lässt sich alles öffnen.

Gruß
Franz

markusg · 25.04.2012, 19:38

hmm, merkwürdig, aber ok, wenns geht, um so besser.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Franz-F · 25.04.2012, 20:05

Hallo,

sobald combofix Punkt 50 am abarbeiten ist kommt ein bluescreen und das system startet neu

Gruß
Franz

markusg · 25.04.2012, 20:07

starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk.
melde dich in deinem konto an, und lass combofix erneut laufen

Franz-F · 25.04.2012, 20:11

Hallo,

alle abgesichterten modi produzieren bluescreen

markusg · 25.04.2012, 20:15

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Franz-F · 25.04.2012, 21:06

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.25.07

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrator :: TESTER [Administrator]

Schutz: Aktiviert

26.04.2012 00:20:10
mbam-log-2012-04-26 (00-20-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 224595
Laufzeit: 44 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wwffp\315C27C02879263E9100.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0002\Patch.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0006\setup2.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0010\keygen.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0012\Patch.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0016\keygen.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0022\keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0050\keygen.exe (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\B5APPZ\0061\CrackSearcher.exe (PUP.CrackSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04252012_232344\C_Dokumente und Einstellungen\Administrator\Anwendungsdaten\Realtec\Realtecdriver.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04252012_232344\C_WINDOWS\system32\0F08C7302879263E3070.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg · 26.04.2012, 12:21

C:\Programme\B5APPZ\0010\keygen.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
bei der verwendung von keygens, da illegal, stellen wir den suport ein, da gibts nur hilfe beim neu aufsetzen.

25.04.2012, 19:32	#6
markusg /// Malware-holic	Windows Trojaner danke fürs hochladen, teste jetzt ob deine dateien, wie bilder zb, verschlüsselt sind __________________ --> Windows Trojaner

Windows Trojaner

Plagegeister aller Art und deren Bekämpfung: Windows Trojaner