Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Update Trojaner - verschlüsselte Daten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.05.2012, 16:09   #1
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hallo,
ich habe hier einen PC mit Windows XP auf dem eine Variante des Verschlüsselungstrojaner ist.
Das Problem besteht seitdem ein Anhang von einer Mail geöffnet wurde. Die Mail wurde mit Thunderbird abgeholt. Ich kann leider nicht ganz nachvollziehen was in der Mail wirklich gestanden hat, da ich selber nicht dabei war. Angeblich etwas in der Richtung:
"Wird werden einen Betrag von x€ von Ihrem Konto abbuchen". Derjenige war etwas neugierig, von welchem Konto der Betrag abgebucht werden soll und hat den Anhang geöffnet.

Leider kann ich mich mit keinem User anmelden ohne das das Fenster von Windows Update mit der Aufforderung Geld zu bezahlen kommt. Auch der abgesicherte Modus funktioniert nicht. Ich nehme mal an, dass liegt daran das diverse Daten verschlüsselt sind.
Deswegen habe ich mit OTLPE gebootet und einen Scan gemacht. Hier das Logfile:

Code:
ATTFilter
OTL logfile created on: 5/20/2012 1:10:11 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511.00 Mb Total Physical Memory | 300.00 Mb Available Physical Memory | 59.00% Memory free
459.00 Mb Paging File | 329.00 Mb Available in Paging File | 72.00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 145.92 Gb Total Space | 126.41 Gb Free Space | 86.63% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - File not found [Auto] --  -- (AntiVirUpgradeService)
SRV - [2012/05/05 09:33:40 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011/07/01 03:57:19 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/29 03:21:54 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/05/13 10:12:54 | 000,069,632 | ---- | M] (Ralink Technology, Corp.) [Auto] -- C:\Programme\Sitecom\Common\RegistryWriter.exe -- (RalinkRegistryWriter)
SRV - [2007/05/16 03:41:18 | 000,029,704 | ---- | M] (TuneUp Software GmbH) [Auto] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2006/06/05 08:59:18 | 000,174,080 | ---- | M] (Nokia.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- (ServiceLayer)
SRV - [2005/10/06 13:13:10 | 000,856,064 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Windows Media Connect 2\wmccds.exe -- (WMConnectCDS)
SRV - [2005/04/03 19:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand] --  -- (xcpip)
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (wanatw) WAN Miniport (ATW)
DRV - File not found [Kernel | System] --  -- (vspf_hk)
DRV - File not found [Kernel | System] --  -- (vspf)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (Nokia USB Port)
DRV - File not found [Kernel | On_Demand] --  -- (Nokia USB Phone Parent)
DRV - File not found [Kernel | On_Demand] --  -- (Nokia USB Modem)
DRV - File not found [Kernel | On_Demand] --  -- (Nokia USB Generic)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (bee846d7e7d19dd7)
DRV - File not found [Kernel | On_Demand] --  -- (1fnxmyy9_.sys)
DRV - File not found [Kernel | On_Demand] --  -- (1fab7a66f34b4b27)
DRV - File not found [Kernel | On_Demand] --  -- (0a05ef917005087d)
DRV - [2011/07/01 03:57:21 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/01 03:57:21 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/05/11 06:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/05/11 04:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2006/10/09 08:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX)
DRV - [2005/05/03 10:34:20 | 001,034,752 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2005/05/03 10:33:42 | 000,224,896 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys -- (HSFHWBS2)
DRV - [2005/05/03 10:33:36 | 000,716,288 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2004/12/21 02:30:07 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)
DRV - [2004/08/04 08:00:00 | 000,088,448 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2004/08/04 08:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004/08/04 08:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004/08/04 08:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004/08/03 16:41:46 | 000,095,424 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\slnthal.sys -- (SlNtHal)
DRV - [2004/08/03 16:41:46 | 000,013,240 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\slwdmsup.sys -- (SlWdmSup)
DRV - [2004/08/03 16:41:44 | 000,404,990 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\slntamr.sys -- (Slntamr)
DRV - [2004/08/03 16:41:40 | 000,180,360 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ntmtlfax.sys -- (NtMtlFax)
DRV - [2004/08/03 16:41:40 | 000,126,686 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mtlmnt5.sys -- (Mtlmnt5)
DRV - [2004/08/03 16:41:40 | 000,013,776 | ---- | M] (Smart Link) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\RecAgent.sys -- (RecAgent)
DRV - [2004/08/03 16:41:38 | 001,309,184 | ---- | M] (Smart Link) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mtlstrm.sys -- (Mtlstrm)
DRV - [2003/12/19 14:07:50 | 000,541,548 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2003/12/11 17:54:14 | 000,391,424 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003/07/01 22:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1)
DRV - [2001/07/16 07:17:30 | 000,076,610 | ---- | M] (Conexant Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\basic2.sys -- (basic2)
DRV - [2001/07/16 07:16:58 | 000,539,917 | ---- | M] (Conexant Systems) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\v124nt.sys -- (V124)
DRV - [2001/07/15 14:05:54 | 000,067,222 | ---- | M] (Conexant Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rksample.sys -- (Rksample)
DRV - [2001/07/03 13:42:30 | 000,017,776 | ---- | M] (Conexant Systems) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\cnxtdiag.sys -- (Cnxtdiag)
DRV - [2001/06/24 13:16:36 | 000,427,215 | ---- | M] (Conexant) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\k56nt.sys -- (K56)
DRV - [2001/06/24 13:16:08 | 000,124,189 | ---- | M] (Conexant) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\fsksnt.sys -- (Fsks)
DRV - [2001/06/24 13:15:20 | 000,215,195 | ---- | M] (Conexant) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\faxnt.sys -- (SoftFax)
DRV - [2001/06/24 13:14:18 | 000,059,375 | ---- | M] (Conexant) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tonesnt.sys -- (Tones)
DRV - [2001/06/24 13:13:56 | 000,308,403 | ---- | M] (Conexant) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\fallback.sys -- (Fallback)
DRV - [2001/02/12 15:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter) T-DSL-Adapter (T-Online)
DRV - [2001/02/12 15:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol) T-DSL-Protocol  (T-Online)
DRV - [2000/10/15 12:38:54 | 000,016,068 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\Programme\T-Online\T-DSL Treiber\Pcandis5.sys -- (PCANDIS5)
DRV - [1998/07/01 07:58:24 | 000,070,336 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\a4s2600.sys -- (A4S2600)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hyrican.de
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Use Custom Search URL = 1
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\User1_ON_C\Software\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://www.google.com
IE - HKU\User1_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\User1_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\User1_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\User1_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\User2_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yahoo.de/
IE - HKU\User2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\User3_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\User3_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de/
IE - HKU\User3_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\User3_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\User3_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de
 
IE - HKU\User4_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de/
IE - HKU\User4_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\User4_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\User5_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hyrican.de/
IE - HKU\User5_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\User5_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\Hotbar@Hotbar.com: C:\Programme\Hotbar\bin\10.0.356.0\firefox\extensions
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/05 09:33:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/01/31 06:16:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011/09/23 04:25:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010/07/03 12:21:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\mozilla\Extensions
[2010/07/03 12:21:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012/05/02 05:08:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\mozilla\Firefox\Profiles\ncmqa03o.default\extensions
[2010/07/03 09:02:34 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\User1\ANWENDUNGSDATEN\THUNDERBIRD\PROFILES\LA1O1GIR.DEFAULT\EXTENSIONS\TBTESTPILOT@LABS.MOZILLA.COM.XPI
[2012/05/05 09:33:40 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/01/31 06:15:55 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/01/31 06:15:55 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/31 06:15:55 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/31 06:15:55 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/31 06:15:55 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/31 06:15:55 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKU\User1_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\User1_ON_C\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User1_ON_C\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User1_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\User1_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User2_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\User2_ON_C\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User2_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\User2_ON_C\..\Toolbar\WebBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\ShellBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\WebBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User3_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User4_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\User4_ON_C\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User4_ON_C\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User4_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\User4_ON_C\..\Toolbar\WebBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User5_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\User5_ON_C\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\User5_ON_C\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\User5_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\User5_ON_C\..\Toolbar\WebBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\2.2D\MMKEYBD.EXE ()
O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\User1_ON_C..\Run: [2F860542] C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O4 - HKU\User1_ON_C..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - HKU\User2_ON_C..\Run: [_Windows]  File not found
O4 - HKU\User2_ON_C..\Run: [anti_troj]  File not found
O4 - HKU\User2_ON_C..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\User2_ON_C..\Run: [key2]  File not found
O4 - HKU\User3_ON_C..\Run: [_Windows]  File not found
O4 - HKU\User3_ON_C..\Run: [anti_troj]  File not found
O4 - HKU\User3_ON_C..\Run: [auto__antiav__key]  File not found
O4 - HKU\User3_ON_C..\Run: [key2]  File not found
O4 - HKU\User4_ON_C..\Run: [_Windows]  File not found
O4 - HKU\User4_ON_C..\Run: [anti_troj]  File not found
O4 - HKU\User4_ON_C..\Run: [key2]  File not found
O4 - HKU\User5_ON_C..\Run: [2F860542] C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O4 - HKU\User5_ON_C..\Run: [anti_troj]  File not found
O4 - HKU\User5_ON_C..\Run: [key2]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\User2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User3_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User4_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\User5_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -  File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -  File not found
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} -  File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.254
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\17A89E822F86054200E4.exe) - C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/06/06 11:40:59 | 000,000,046 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (stera) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/19 09:29:25 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2012/05/19 02:31:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012/05/05 09:33:49 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/05/05 09:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2007/03/29 13:19:41 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnpstd.dll
[2007/03/29 13:19:41 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd.dll
[2007/03/29 13:19:41 | 000,036,864 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd.dll
[2 C:\Dokumente und Einstellungen\User1\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\User1\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/19 10:44:43 | 000,007,883 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/05/19 10:44:26 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/19 10:44:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/19 10:44:01 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/19 08:21:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/19 02:31:45 | 000,073,216 | -H-- | M] () -- C:\WINDOWS\System32\17A89E822F86054200E4.exe
[2012/05/18 11:16:39 | 000,000,414 | ---- | M] () -- C:\WINDOWS\tasks\Mantenimiento con 1 clic.job
[2012/05/18 11:16:39 | 000,000,396 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2012/05/18 04:01:41 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/17 03:49:33 | 000,121,856 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Eigene Dateien\sqQxXyuxpLNdDjvtT
[2012/05/17 03:49:33 | 000,089,600 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Eigene Dateien\DErGpAuVsLOsaqJdDErxp
[2012/05/17 03:42:15 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\Microsoft Office Excel 2003.lnk
[2012/05/16 08:26:22 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2012/05/12 05:27:02 | 001,057,649 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\ptNopsNoDVJqaGOns
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/11 07:07:33 | 000,013,030 | ---- | M] () -- C:\AetOjXVQElGrya
[2012/05/05 05:22:27 | 000,054,784 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Eigene Dateien\XxgosfOEsVvjatNLDUQqp
[2012/05/05 03:51:02 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2012/05/01 15:00:36 | 000,419,300 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/01 15:00:36 | 000,404,104 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/01 15:00:36 | 000,076,212 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/01 15:00:36 | 000,063,324 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/24 06:53:49 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\Microsoft Office Word 2003.lnk
[2 C:\Dokumente und Einstellungen\User1\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\User1\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/19 02:33:50 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/19 02:31:45 | 000,073,216 | -H-- | C] () -- C:\WINDOWS\System32\17A89E822F86054200E4.exe
[2010/06/28 13:29:42 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
[2010/03/19 12:19:39 | 000,004,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\rt2870.bin
[2010/03/19 12:19:12 | 000,013,931 | ---- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2007/05/30 10:51:56 | 000,003,406 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007/03/29 13:19:48 | 000,286,720 | ---- | C] () -- C:\WINDOWS\vsnpstd.exe
[2007/03/29 13:19:48 | 000,015,541 | ---- | C] () -- C:\WINDOWS\snpstd.ini
[2007/03/29 13:19:47 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\dsnpstd.dll
[2007/03/29 13:19:44 | 000,390,784 | ---- | C] () -- C:\WINDOWS\System32\drivers\snpstd.sys
[2007/03/29 13:19:41 | 000,020,480 | ---- | C] () -- C:\WINDOWS\usnpstd.exe
[2007/03/11 06:28:29 | 000,199,953 | ---- | C] () -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\NMM-MetaData.db
[2006/06/15 07:01:56 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat
[2006/03/10 10:39:21 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006/02/03 12:42:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\winut.dat
[2006/01/24 14:08:29 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2005/11/23 00:00:00 | 000,778,240 | ---- | C] () -- C:\WINDOWS\System32\DivXsm.exe
[2005/08/12 17:57:09 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2005/07/29 08:13:22 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005/06/29 10:24:44 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\User3\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005/06/17 06:41:14 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2005/06/09 09:11:54 | 000,058,416 | ---- | C] () -- C:\WINDOWS\System32\EZTWAIN.DLL
[2005/06/09 09:11:54 | 000,000,313 | ---- | C] () -- C:\WINDOWS\GLUECK.INI
[2005/06/07 10:24:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ui.INI
[2005/06/07 10:12:22 | 000,070,336 | ---- | C] () -- C:\WINDOWS\System32\drivers\a4s2600.sys
[2005/06/07 09:55:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Classic.INI
[2005/06/07 08:21:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2005/06/07 08:13:16 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS61.DLL
[2005/06/06 12:09:28 | 000,000,077 | ---- | C] () -- C:\WINDOWS\DBD.INI
[2005/06/06 12:01:26 | 000,000,040 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005/06/06 11:40:54 | 000,000,475 | ---- | C] () -- C:\WINDOWS\BDE.INI
[2005/06/06 11:40:54 | 000,000,051 | ---- | C] () -- C:\WINDOWS\MULTIHLP.INI
[2005/06/06 11:40:54 | 000,000,046 | ---- | C] () -- C:\WINDOWS\WINHELP.INI
[2005/06/06 11:38:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\Borland Copy of WIN.INI
[2005/06/06 11:38:03 | 000,091,648 | ---- | C] () -- C:\WINDOWS\BC5RMV.EXE
[2005/06/06 10:39:36 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\User5\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/06/06 10:38:51 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\User4\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/06/06 10:38:00 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\User3\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/06/06 10:36:02 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\User2\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/06/06 10:35:05 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005/06/06 10:19:47 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005/06/06 10:05:59 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/06/06 10:05:35 | 000,000,141 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005/03/23 04:04:32 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2004/12/21 02:13:22 | 000,000,004 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2004/11/04 02:31:54 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2004/09/02 06:11:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004/09/02 05:29:17 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2004/09/02 05:29:16 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004/09/02 02:53:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/09/02 02:52:20 | 000,266,208 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/09/02 02:03:50 | 000,000,959 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/09/02 02:00:36 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/09/02 01:57:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/02 01:46:13 | 000,001,200 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004/09/02 01:46:04 | 000,419,300 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/09/02 01:46:04 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/09/02 01:46:04 | 000,076,212 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/09/02 01:46:04 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/09/02 01:45:54 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/09/02 01:45:54 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/09/02 01:45:52 | 000,404,104 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/09/02 01:45:52 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/09/02 01:45:52 | 000,063,324 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/09/02 01:45:52 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/09/02 01:45:51 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/09/02 01:45:51 | 000,004,520 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/09/02 01:45:50 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/09/02 01:45:47 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/09/02 01:45:47 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/09/02 01:45:45 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/09/02 01:45:43 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/09/02 01:45:39 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[1999/01/26 17:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL
[1601/02/13 04:28:18 | 000,000,908 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\AUujpsNEDVvyTGO
[1601/02/13 04:28:18 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sxrqaUJnstgAXfQolGNy
[1601/02/13 04:28:18 | 000,000,093 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\eAeUJjXtOElfQya
 
========== LOP Check ==========
 
[2007/08/13 16:08:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Datalayer
[2007/03/15 06:00:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\funkitron
[2012/05/19 03:14:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\ICQ Toolbar
[2006/09/20 11:34:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\ICQLite
[2012/05/19 03:15:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\MSNInstaller
[2007/03/11 05:34:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Nokia
[2007/03/11 05:30:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\PC Suite
[2012/05/19 03:15:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\TeamViewer
[2010/07/03 12:20:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Thunderbird
[2010/06/11 05:22:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\TuneUp Software
[2011/05/19 07:31:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Valuga Software
[2008/07/11 09:47:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Viewpoint
[2007/02/10 12:09:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User2\Anwendungsdaten\HbTools
[2005/07/18 12:05:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User2\Anwendungsdaten\ICQLite
[2007/09/03 11:39:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User2\Anwendungsdaten\PC Suite
[2006/02/28 03:25:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User2\Anwendungsdaten\ShopperReports
[2005/12/13 12:04:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User2\Anwendungsdaten\T-Online
[2007/03/11 05:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\Datalayer
[2006/03/26 10:38:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\HbTools
[2008/02/29 12:15:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\Hotbar
[2007/07/31 14:19:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\ICQ
[2006/11/30 14:09:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\ICQ Toolbar
[2005/06/09 14:48:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\ICQLite
[2005/06/18 10:12:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\MSNInstaller
[2007/04/09 12:40:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\Nokia
[2007/04/09 12:45:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\Nokia Multimedia Player
[2007/03/11 05:52:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\PC Suite
[2005/12/16 08:20:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\ShopperReports
[2005/11/07 05:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User3\Anwendungsdaten\T-Online
[2012/05/19 03:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\HbTools
[2005/06/29 09:00:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\ICQLite
[2007/09/04 14:10:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\PC Suite
[2012/05/19 03:17:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\ShopperReports
[2005/12/31 10:28:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\T-Online
[2011/03/20 12:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User4\Anwendungsdaten\Thunderbird
[2012/05/19 03:18:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User5\Anwendungsdaten\HbTools
[2005/06/16 14:13:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User5\Anwendungsdaten\ICQLite
[2012/05/19 03:18:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User5\Anwendungsdaten\ShopperReports
[2006/02/11 14:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User5\Anwendungsdaten\T-Online
[2010/07/03 10:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2008/03/13 10:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2007/03/11 05:30:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010/03/19 12:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sitecom Driver
[2006/01/19 03:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2010/07/03 10:56:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2008/07/11 09:47:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
[2012/05/18 11:16:39 | 000,000,396 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
[2012/05/18 11:16:39 | 000,000,414 | ---- | M] () -- C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job
 
========== Purity Check ==========
 
 
< End of report >
         
Ich nehme an das diese Datei der Übeltäter ist: C:\WINDOWS\system32\17A89E822F86054200E4.exe

Desweiteren sind die Dateien "verschlüsselt". Hier einige Beispielnamen:
AatNnltNLDUQypxgEe
LGrLedvAptgEDVQq
rUvAXtOolfQqTGNnsU
Dies passt leider nicht zum dem Muster, welches man normal im Internet findet (locked-dateiname o.ä.) Gibt es eine Möglichkeit die Dateien wiederherzustellen?

Danke schon mal im Vorraus!

Grüße Nico

Alt 23.05.2012, 16:49   #2
markusg
/// Malware-holic
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - HKU\User5_ON_C..\Run: [2F860542] C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O4 - HKU\User2_ON_C..\Run: [anti_troj]  File not found
O4 - HKU\User1_ON_C..\Run: [2F860542] C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\User1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\17A89E822F86054200E4.exe) - C:\WINDOWS\system32\17A89E822F86054200E4.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
__________________

__________________

Alt 25.05.2012, 15:55   #3
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Nun konnte ich mich wieder normal unter Windows anmelden.

Hier das logfile:

Code:
ATTFilter
========== OTL ==========
Registry value HKEY_USERS\user5_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\2F860542 deleted successfully.
C:\WINDOWS\system32\17A89E822F86054200E4.exe moved successfully.
Registry value HKEY_USERS\user2_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\anti_troj deleted successfully.
Registry value HKEY_USERS\user1_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\2F860542 deleted successfully.
File C:\WINDOWS\system32\17A89E822F86054200E4.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\17A89E822F86054200E4.exe deleted successfully.
File C:\WINDOWS\system32\17A89E822F86054200E4.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: user1
->Temp folder emptied: 5835116 bytes
->Temporary Internet Files folder emptied: 129062237 bytes
->Java cache emptied: 148058142 bytes
->FireFox cache emptied: 49278909 bytes
->Google Chrome cache emptied: 12308358 bytes
->Flash cache emptied: 257407 bytes
 
User: user2
->Temp folder emptied: 10282123 bytes
->Temporary Internet Files folder emptied: 13860311 bytes
->Java cache emptied: 377216 bytes
->Flash cache emptied: 300 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 65536 bytes
 
User: user3
->Temp folder emptied: 10345005 bytes
->Temporary Internet Files folder emptied: 70035351 bytes
->Java cache emptied: 559397 bytes
->Flash cache emptied: 2067 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 227071 bytes
->Flash cache emptied: 300 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: user4
->Temp folder emptied: 4835885 bytes
->Temporary Internet Files folder emptied: 30586115 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 300 bytes
 
User: user5
->Temp folder emptied: 1093512 bytes
->Temporary Internet Files folder emptied: 35313189 bytes
->Java cache emptied: 92035 bytes
->Flash cache emptied: 300 bytes
 
Total Flash Files Cleaned = 498.00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: user1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: user2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: user3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: user4
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: user5
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25322712 bytes
 
Total Files Cleaned = 24.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05252012_215443
         
__________________

Alt 25.05.2012, 15:58   #4
markusg
/// Malware-holic
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



hi
wenn du bereits an die mail drann kommst:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, kolegen, bekannte etc.
auch in sozialen netzwerken wie facebook falls du so was nutzt, vor mails von unbekannten absendern, bzw mit unangeforderten anhängen.
jeder soll diese warnung seinerseits weitersenden etc.
außerdem mit der aufforderung, solche verdächtigen mails an mich weiterzuleiten!

dann mal weiter mit deinem pc:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 25.05.2012, 16:38   #5
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hi,
An die Mails komme ich leider noch nicht dran. Outlook kann die pst Datei nicht finden/öffnen. Sobald ich an die Mails komme, leite ich dir diese weiter.

Hier das Logfile von Combofix:

Code:
ATTFilter
ComboFix 12-05-25.02 - Anita 25.05.2012  22:37:03.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.287 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Anita\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Anita\Eigene Dateien\~WRL0970.tmp
c:\dokumente und einstellungen\Anita\Eigene Dateien\~WRL2478.tmp
c:\dokumente und einstellungen\Anita\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\sjOGeEudpyNslnvVaAgx
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\AJsTEOfeyQxpnNdDAJsa
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\nJVaAOxsoQUpyNt
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\oyOxlnQdTANtsoJfXyO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\aQGpnNUDAvtaEgfsquGXL
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\EsanNrtDvGXoOdleoudp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\jjvxXEgUlqutanr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\NUDjvtaEOfsqQGpnrdlAJ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\oGlLQUTArteEvf
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ANssoJVpqgxDLQUTjNssE
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\btntrans1.dat
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ddlyQtTLNfsjJxpE
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\doDdvyTtOnsfujpxro
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\DyrslLJfajgGsEQUX
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\efTjgxsoQUXqrtDLJfTA
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\fTEOfeqQGpnNdlAJsTogV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\fXqJVpyJfpqgGDnQ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\gdXyNtDLJVajOx
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\jdDyusTnrfsAJxXogUDyQ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\jgxsEudpqNslnvV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\jrEsUJqXtgLlVQAT
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\jTxgnedQAXtNolVJqaxO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\keywords1.dat
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\lgxeoQUpyNtDnvfa
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\LQjpsNoDVvyTxOLsUQj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\LxgnedQAXtNolVJyaxO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\nedvLTGNnedvAXsOolV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\NEqedvqXsOnlVQAaxro
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\NfsjvGXogdlqusaLr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\nGXEgdDqusTnrVe
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\nolfJyTGgneUQAp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\nxpogUDqutaLNf
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\OdDqusTnrfeAvxpog
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\OdlyQsTnNVeAvxXEO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\OdlyutanrfeAJxXogUDyQ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\OfQqTGNnsdJAXsO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ogfaEOfsyuxpnrd
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ogUDyQsanrfsjvGXoO
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\pDyutTLrfejvGXEgd
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\pxeoQUpyrtlnvfaj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\QygxDLQUTjrteEvfXq
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\roeGNosUvyXtgLlV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\rTxrEedvyptgnlfQAaGN
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\sErdlnuGlLudTAr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\sjgxsEuUXqrslLvf
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\sqOGlnudaANssoJVp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\squxXLrdlAJsTogVeqQGX
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\taqutTnrfeAJxpEgU
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\tAvxXogdlqutaLr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\tdajNtsEJfXqOxlnQUTj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\teEJVXqgxDnQUajNseo
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\TxrLeGNnedvAXsgolV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\uslqudDyQsTnNfsAvx
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\UTjNtsEJfXqgxDnu
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\uxXLrdlAJtTogfsyQGp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\VeyuxpnNdljvtaogV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\VJsaoOfsyQxXnr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\VoOUlqusanrVeAJG
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\vtsEvfXqgGlnuUTjrteoJ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\vyXtJEsdvyptgnlfQA
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\xDyQtaLNfsjJGpEOd
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\xeyQxXLNUljJtaEOVequ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\XJVTAgxsoQUXyr
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\xNosdvyXtOLlVQjaxrEe
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\XseoJfpygGDLQdaArssE
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\yeoQdXqrsDnJVa
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ygnsVQApxNoldvyTt
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\AaGNEsUvqXsOLlVuj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\aGOLsduAXtrolfJqTxg
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\DfQqaxQqaGNnsUJAXsg
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\EDVQqaGNLsdvAXtOolfuq
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\EGNoDUvqatOLsVuj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\elfJyTGgnsdujp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\EQqTGNLsUJjpsOED
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\jAaGNosUJqXsOnlVQj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\JlfJyTGgneUQAp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\JqpsOLDfQjaGrosUv
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\jrosUvyptOLlfQjTGNEs
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\lqaGNnsUJAXsOElVQ
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\NAsdQAXtrElfvqTxOLe
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\nEDdJqTsOnsfQjXx
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\oGNosdvyXtOnlV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\pTGrLeUvjpsgEDV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\qasOLsVujXGrolUJqTtgn
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\QsroDVJyTxOLedQjp
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\rEsdTDVuAaxrEeUvyptgL
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\rTGrEsUJqptgnD
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\TfgnlfQATGNosUvyps
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\TJqTsOnefQAXxNolUJya
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\TpsgnDVQAaGNosUvyXt
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\ulfQATxrEsUJqpsg
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\uqasOnsfujpxNold
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\VfvqaxgneUuAXtrE
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XaxgnsUujXtroDfvqa
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XsNolfxyEDgLeUuj
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XTGNnedvAXsgolV
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XtOypdvqXtgnDVQAaG
c:\dokumente und einstellungen\Pamela\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XxrjVQAsfuAXxrE
c:\dokumente und einstellungen\Pamela\WINDOWS
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\GsLJdaqNGDouVXAgse
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\ASPL1.dat
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\fXAgssnvdayrxlo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\gqvxTorfljQtpLgU
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\hstat\3388.dat
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\JUTyNxloQfXjgteL
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\nTyNGDoufXAOtsLJUTqr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\dGDEQfXjOsenJdTq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\EvUTyrGlEuVpAg
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\GloQVXAOtsLJUayrGDE
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\gspjOfXAOtsnvdaqrxD
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\JQVXAOtsLvdTqrG
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\jVXjOseLJUTyNxloQ
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\LOUsyvxaErfljusXnOde
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\lrGloufXAgsenJUTyNxDE
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\OnJdaqNxDouVpj
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\qgUeyvGaoNflAutXnOdsq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\VTyrxloQVpAOtsLJU
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\TooltipXML\xDyrxDEQfpjOts
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\dynamic\ustat\3388.dat
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\AasrnDduyXxOoef
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\AatrnlUuqXxgEeVJjTsNn
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\AfXjOssnJdaqrxDouVX
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\anvdTyNxloQVXjgt
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\ApngUsqvGaErVDAusXn
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\atrnlUuqXxgEefJjTsNn
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\btntrans1.dat
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\DEQVpjgtsLvdaqN
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\DgosfJjatrLDUQqXGOo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\EefJAasNnDUuyXxOoefv
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\EeGgEsVJATsrnDUuypxOo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\elEuVpAOseLvUTyrx
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\eloQfpAgtsLJUaq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\eNnDdQyXxOosVJj
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\EQVXAOsenJgUeyJ
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\eypxOosfJjTtrnDduqXG
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\foQfXAOssnJdaqr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\fpxgoefJAatNnDUQqXGOE
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\JAatrLDUuypGgEefvAa
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\jrGloQVpAgtenJUaq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\keywords1.dat
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\LGgoefJATtNnDUQ
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\LxgEsfvjatNnDUuqX
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\LyNxDoQfXAOssnvUa
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\NLlduypGOEeVJATsNnDU
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\NnDdQyXxOosfJjTtrLDdu
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\oEefJAasrnDduypxOoeV
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\oNGaEDXnOdeqJGT
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\ouVXjgseLJUTyNGDEQf
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\oXUuqXxOEsVvjTtrLld
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\pErfErxTErVlAuspL
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\pjgtpQfXjOteLJdTqr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\QfpjOtsnJdTqrGDoQVXA
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\qgdeqvGaENflAusXngdsq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\qJxaorVljQtpLgUsqv
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\qvGTENVlAQsXngUsyJx
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\rutXngUeqJGTENV
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\rVvATtrLlUQqpxgoeVv
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\rXGgEsfJAasNnDduyXxOo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\srLlUuqXUrLlduqpGO
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\tDoQfpjgssnvdaqN
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\tjOsenJdTqrxDoQVpjO
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\tOUeyvxaoNfljutXLO
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\TsrLlduypxgoef
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\TtrLldQqpGgosVJAasr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\UGDoQVXAOtsnvdaq
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\uspLgUsyvxTErfljQsX
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\uvUaqrxlouVpAgseLvUT
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\VDAQfDAQtpLgUs
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\VLldQypGgoefvAatNnD
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\VnldQqXxOosVJjTtN
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\VQtXngdsqJxTorVDAQs
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\VVvATtNLlUQqXxgEefJja
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\xAatNnDUQyXxgosf
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\XayrxloufpAgtenJUay
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\XjQfDEuVXjOten
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\xOypGOEefvjTtNnD
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\2\xqrGlEuVpAOsenvU
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\AasrnlduyXxOoefJjTtr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\dQqXxgosVJAatrLDUuyp
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\duLDUQqpxOEsfvjasr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\erLlUtqpGgosVvjas
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\eVJATtrnDdQqpGOos
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\fXGOoefJATtNnDd
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\gUQqpxgEsfvAasNnlUu
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\gUuqpGgEeVvATsNnldQ
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\jdQypxgEefJjasNnDUQyX
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\JEsrLlduyXGgEefJAa
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\lduqpGOEeVvAasNnlUuyX
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\lduqXGgoeVvAas
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\LGgoeVJATtNnDdQqpx
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\nJATsrLlUuqpGg
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\nJATsrnDUQypxgEsVvj
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\nnDUuypxOEefJjatNnDdQ
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\pGQqXUQypxgEsfvAas
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\QsVvAasrnDUuyp
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\qXGgosVJAasrLlUuypG
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\rLlUQypxgosfJAatNXxgE
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\rnasNLDdQyXxOo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\rXGgEsfJjasNnDd
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\srAasNLlUuqXGg
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\tsVJjTtrLDUQqpGOosf
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\TtrLlUuqpGgEsfv
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\uQypxgosfJjTtr
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\vAasNLlduqXGgoefJA
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\VvATsNnlduyXGgo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\xgEsVvAasrnlUQypGgo
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XGgosVvjatNLDd
c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\XGOosfJjTtrnDduqpGOo
c:\dokumente und einstellungen\Waldemar\WINDOWS
c:\windows\_detmp.2
c:\windows\exefld
c:\windows\exefld\16225078.exe.VIRUS
c:\windows\exefld\262578.exe.VIRUS
c:\windows\IsUn0407.exe
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
c:\windows\unin0407.exe
c:\windows\WinSecurity
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_FOPN
-------\Legacy_VSPF
-------\Legacy_VSPF_HK
-------\Service_vspf
-------\Service_vspf_hk
-------\Service_xcpip
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-25 bis 2012-05-25  ))))))))))))))))))))))))))))))
.
.
2012-05-26 01:57 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-05-26 01:54 . 2012-05-26 01:54	--------	d-----w-	C:\_OTL
2012-05-20 17:37 . 2012-05-20 17:37	--------	d-----w-	c:\dokumente und einstellungen\Waldemar\Anwendungsdaten\Malwarebytes
2012-05-20 14:25 . 2004-08-03 22:57	21504	-c--a-w-	c:\windows\system32\dllcache\hidserv.dll
2012-05-20 14:25 . 2004-08-03 22:57	21504	----a-w-	c:\windows\system32\hidserv.dll
2012-05-20 14:25 . 2004-08-03 22:46	14848	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2012-05-20 14:25 . 2004-08-03 22:46	14848	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2012-05-20 14:25 . 2004-08-03 21:08	31616	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2012-05-20 14:25 . 2004-08-03 21:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2012-05-19 06:31 . 2012-05-19 06:31	--------	d--h--w-	c:\windows\PIF
2012-05-05 13:33 . 2012-05-05 13:33	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-05-05 13:33 . 2012-05-05 13:33	157352	----a-w-	c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-05 13:33 . 2012-05-05 13:33	129976	----a-w-	c:\programme\Mozilla Firefox\maintenanceservice.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-08 16:40 . 2012-04-08 16:40	1409	----a-w-	c:\windows\QTFont.for
2012-05-05 13:33 . 2012-01-31 10:16	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 307200]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-10-14 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 65024]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-29 4603904]
"nwiz"="nwiz.exe" [2004-09-29 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-09-29 86016]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FLMK08KB"="c:\programme\Muiltmedia keyboard utility\2.2D\MMKEYBD.EXE" [2005-06-07 207360]
"FLMOFFICE4DMOUSE"="c:\programme\Browser MOUSE\mouse32a.exe" [2005-06-07 360448]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2004-12-21 26112]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-03-05 155648]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0stera
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.06.2010 11:45 136360]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);c:\windows\system32\drivers\TDSLAdap.sys [06.06.2005 18:11 47616]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\dokume~1\Anita\LOKALE~1\Temp\AVSETUP_4b9ca7ec\basic\avupgsvc.exe" /TEMPSTART:""c:\dokume~1\Anita\LOKALE~1\Temp\AVSETUP_4b9ca7ec\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\dokume~1\Anita\LOKALE~1\Temp\AVSETUP_4b9ca7ec\basic\avupgsvc.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [14.10.2011 09:52 136176]
S3 0a05ef917005087d;0a05ef917005087d;\??\c:\windows\TEMP\76806aff26c6 --> c:\windows\TEMP\76806aff26c6 [?]
S3 1fab7a66f34b4b27;1fab7a66f34b4b27;\??\c:\windows\TEMP\76808235e674 --> c:\windows\TEMP\76808235e674 [?]
S3 1fnxmyy9_.sys;1fnxmyy9_.sys;\??\c:\windows\system32\drivers\1fnxmyy9_.sys --> c:\windows\system32\drivers\1fnxmyy9_.sys [?]
S3 bee846d7e7d19dd7;bee846d7e7d19dd7;\??\c:\windows\TEMP\7680e1e7d50 --> c:\windows\TEMP\7680e1e7d50 [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [14.10.2011 09:52 136176]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [27.08.2006 07:37 17152]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [05.05.2012 15:33 129976]
S3 TDSLProtocol;T-DSL-Protocol  (T-Online);c:\windows\system32\drivers\TDSLProt.sys [06.06.2005 18:11 6688]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 10:40]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-14 07:52]
.
2012-05-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-14 07:52]
.
2012-05-18 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 10:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.254
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-DATA BECKER Glückwunsch-Druckerei - c:\windows\IsUn0407.exe
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
AddRemove-Image Expert - c:\windows\IsUn0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Titan Poker - c:\poker\Titan Poker\_TitanPSetup_c80e23(2).exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-25 22:48
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\0a05ef917005087d]
"ImagePath"="\??\c:\windows\TEMP\76806aff26c6"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1fab7a66f34b4b27]
"ImagePath"="\??\c:\windows\TEMP\76808235e674"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bee846d7e7d19dd7]
"ImagePath"="\??\c:\windows\TEMP\7680e1e7d50"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3216)
c:\windows\system32\msi.dll
c:\programme\Browser MOUSE\MOUDL32A.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\Sitecom\Common\RegistryWriter.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Muiltmedia keyboard utility\2.2D\KbdAp32A.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-25  22:55:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-05-25 20:55
.
Vor Suchlauf: 16 Verzeichnis(se), 136.214.036.480 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 137.290.829.824 Bytes frei
.
- - End Of File - - 8652C39FF979B5E748C8575F4C73EDFA
         
--- --- ---


Die Fehlermeldung mit dem Registryschlüssel kam nicht.


Alt 25.05.2012, 17:20   #6
markusg
/// Malware-holic
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



bitte poste alle bisher erstellten Malwarebytes logs
__________________
--> Windows Update Trojaner - verschlüsselte Daten

Alt 25.05.2012, 21:38   #7
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Malwarebytes Anti-Malware war zwar installiert, aber ich konnte es nicht starten und Log-Dateien habe ich auch keine gefunden. Habe das Programm neu installiert und mal drüberlaufen lassen.
1. Log Vollständiger Scan
2. Log Quick-Scan

Alt 26.05.2012, 13:25   #8
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hi Markus,

obwohl du im verdienten Urlaub bist, melde ich mich nochmal.

Ich habe derweil mal probiert mit den 8 verschiedenen Tools die Dateien zu entschlüsseln, leider ohne Erfolg. Ich habe mal eine verschlüsselte und eine original Datei angehängt. Die Beispielbilder von Windows waren nicht vorhanden. Ich hatte mehr oder weniger Glück, dass bei zwei Usern die Dateien nicht verschlüsselt sind und hier unter Eigene Bilder ein gleicher Ordner existiert wie unter den verschlüsselten. Die Größe der beiden Dateien passt.
Ich glaub in den Logfiles stand es nirgendwo (bzw. habe ich es nicht gefunden): Laut Virus Doctor Web handelt es sich um "Trojan.Inject1.3440". Die Datei 17A89E822F86054200E4.exe habe ich auch noch als zip-Datei, falls ihr interessiert seit. Vllt hilft euch das irgendwie weiter.

Grüße
Nico

Alt 30.05.2012, 20:41   #9
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hi,

wollt mich noch mal melden, vllt ist mein Beitrag irgendwie untergangen, habe ja schon am Samstag geschrieben gehabt, als du nicht da warst.
Ich habe jetzt noch mal probiert die Outlook pst Datei mit scanpst.exe zu reparieren. Er hat zwar Ordner wiederhergestellt, aber wenn ich Outlook öffne sind keine Mails o.ä. vorhanden. Die pst Datei hat bei mir hier eine Größe von 16,6MB. Ich musste mir ein Testkonto anlegen, damit ich Outlook öffnen kann. Leider ist das pst File leer. Wie schon geschrieben, ist auf dem PC auch Thunderbird installiert. Hier sind unter dem Standardpfad auch noch Dateien vorhanden, allerdings alle "verschlüsselt", sonst hätte ich dir den Virus zuschicken können.
Meine Frage: kann ich derweil schon SP3 und ein paar Updates installieren solange wir die Dateien noch nicht entschlüsseln können?
Helfen euch die Infos von oben weiter?

Grüße
Nico

Alt 03.06.2012, 13:51   #10
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hi Markus,

habe den Virus die Woche per Mail geschickt. Wie gehen wir weiter vor?

Alt 04.06.2012, 17:58   #11
Niggo
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



Hi Markus,

könntest du mir kurz eine Rückmeldung geben, damit ich diese weitergeben kann da es leider nich mein PC ist. Es handelt sich hier leider um einen Geschäfts-PC (Die Spende wird etwas höher ausfallen ;-) )
Habe zwischendurch auch mal im Internet geschaut. Könnt ihr abschätzen, inwiefern die Daten entschlüsselt werden können?

Alt 06.06.2012, 17:59   #12
markusg
/// Malware-holic
 
Windows Update Trojaner - verschlüsselte Daten - Standard

Windows Update Trojaner - verschlüsselte Daten



im moment gibts keine entschlüsselungsmöglichkeiten.
du kannst wichtige daten sichern und hoffen das irgendwann mal was möglich ist.
ich würde außerdem überlegen das system einmal neu aufzusetzen und dann abzusichern.
wenn du nicht weist wie man formatiert gebe ich dir ne anleitung.
zum absichern bekommst du ebenfalls eine
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Windows Update Trojaner - verschlüsselte Daten
avira, bho, browser, daten verschlüsselt, desktop, disabletaskmgr, einstellungen, error, excel, explorer, firefox, format, geld, generic, homepage, logfile, mdm.exe, microsoft office word, mozilla, nvidia, plug-in, problem, realtek, scan, software, trojaner, update trojaner, usb, windows, windows update trojaner, windows xp



Ähnliche Themen: Windows Update Trojaner - verschlüsselte Daten


  1. Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 23.06.2015 (3)
  2. Verschlüsselte Daten entschlüsseln
    Log-Analyse und Auswertung - 07.03.2013 (3)
  3. Verschlüsselte Daten nach Verschlüsselungsvirus
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (1)
  4. Verschlüsselte Daten
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (1)
  5. Windows update trojaner 100€ paysafe kaufen um daten wieder herzustellen
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (1)
  6. verschlüsselte Daten - Windows update Trojaner-
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (4)
  7. Windows Update Virus verschlüsselte Dateien
    Log-Analyse und Auswertung - 08.06.2012 (3)
  8. Windows Update Trojaner Daten wiederherstellen keinen Erfolg
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (1)
  9. TR/Crypt.Gypikon.B.3 verschlüsselte Daten - entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 08.05.2012 (1)
  10. Windows-Verschlüsselungs-Trojaner - Originaldatei größer als verschlüsselte Datei
    Log-Analyse und Auswertung - 30.04.2012 (14)
  11. Windows Firewall & Update geht nicht;Heruntergeladene Daten lassen sich nicht ausführen
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (33)
  12. Windows konnte alle Daten fur die Datei \\System32\\496A8300 nicht speichern. Daten verloren.
    Log-Analyse und Auswertung - 22.04.2011 (10)
  13. Autocomplete: Browser verraten vertrauliche Daten [Update]
    Nachrichten - 22.07.2010 (0)
  14. [Update] Autocomplete: Browser verraten vertrauliche Daten
    Nachrichten - 22.07.2010 (0)
  15. Verschlüsselte Medien für Windows und Mac OS X
    Nachrichten - 21.07.2009 (0)
  16. Windows Update > svchost sendet massig Daten & Internet extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  17. verschlüsselte Daten
    Alles rund um Windows - 17.07.2006 (3)

Zum Thema Windows Update Trojaner - verschlüsselte Daten - Hallo, ich habe hier einen PC mit Windows XP auf dem eine Variante des Verschlüsselungstrojaner ist. Das Problem besteht seitdem ein Anhang von einer Mail geöffnet wurde. Die Mail wurde - Windows Update Trojaner - verschlüsselte Daten...
Archiv
Du betrachtest: Windows Update Trojaner - verschlüsselte Daten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.