Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.05.2012, 11:48   #1
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Bitte um Hilfe.
Hier die übersicht über den OTL scan:

OTL logfile created on: 5/26/2012 7:43:57 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,022.00 Mb Total Physical Memory | 830.00 Mb Available Physical Memory | 81.00% Memory free
906.00 Mb Paging File | 846.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 33.64 Gb Total Space | 23.55 Gb Free Space | 70.00% Space Free | Partition Type: NTFS
Drive D: | 33.64 Gb Total Space | 33.44 Gb Free Space | 99.42% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days
Using ControlSet: ControlSet002

========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand] -- -- (AppMgmt)
SRV - [2012/04/27 12:46:36 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/02/29 02:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2005/05/28 03:35:56 | 000,036,864 | R--- | M] () [Auto] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service)
SRV - [2002/09/20 10:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2010/12/08 15:56:36 | 000,004,300 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)
DRV - [2005/06/28 01:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/06/08 11:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter)
DRV - [2005/04/30 11:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2005/04/18 17:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\risdptsk.sys -- (risdptsk)
DRV - [2004/12/06 10:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2004/12/05 16:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2004/05/26 09:18:18 | 000,044,928 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\TMH_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/04/27 12:46:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/04/15 15:43:07 | 000,000,000 | ---D | M]

[2010/12/08 16:32:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Extensions
[2011/04/15 15:27:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions
[2012/05/23 17:01:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012/05/23 17:01:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions\dplauncher@digitalpublishing.de
[2012/01/12 13:09:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/04/30 12:32:43 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012/04/27 12:46:35 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/10/02 23:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/01/12 13:09:28 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/01/12 13:09:28 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/12 13:09:28 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/12 13:09:28 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/12 13:09:28 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/12 13:09:28 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKU\TMH_ON_C..\Run: [80906D2D] C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe (Корпорация Майкрософт)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\30AF2DA780906D2D623F.exe) - C:\WINDOWS\system32\30AF2DA780906D2D623F.exe (Корпорация Майкрософт)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2010/12/08 15:40:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 7 Days ==========

[2012/05/23 16:54:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
[2012/05/23 16:54:00 | 000,052,224 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\30AF2DA780906D2D623F.exe
[2012/05/23 16:53:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 7 Days ==========

[2012/05/26 12:26:19 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/25 16:39:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/23 16:54:00 | 000,052,224 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\30AF2DA780906D2D623F.exe
[2012/05/23 07:54:39 | 000,000,043 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\XtQETUOjDxJnpfN
[2012/05/22 15:10:57 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/05/21 17:10:11 | 000,036,471 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\dOADGvLXfNyesQoaUOAl
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/22 15:10:57 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/05/08 01:33:00 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/02/16 02:11:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/01/29 16:29:45 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011/01/01 13:24:54 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010/12/12 09:42:08 | 000,045,056 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/12/08 16:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/12/08 15:56:39 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2010/12/08 15:53:06 | 000,095,617 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2010/12/08 15:42:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/12/08 15:37:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/12/08 15:16:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005/06/08 11:58:10 | 000,017,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys
[2005/06/08 11:58:08 | 000,035,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWXT_kern_i386.sys
[2005/06/08 11:58:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,449,418 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,433,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,080,936 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,068,094 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001/08/31 01:32:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001/08/31 01:30:56 | 000,004,486 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

========== LOP Check ==========

[2012/05/23 16:54:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
[2012/05/07 03:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon
[2011/02/15 13:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing
[2012/05/23 17:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012/05/07 06:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular
[2011/02/08 15:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org
[2010/12/30 19:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif
[2010/12/21 19:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode
[2012/05/23 17:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular

========== Purity Check ==========


< End of report >

Alt 29.05.2012, 10:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O4 - HKU\TMH_ON_C..\Run: [80906D2D] C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\30AF2DA780906D2D623F.exe) - C:\WINDOWS\system32\30AF2DA780906D2D623F.exe
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2010/12/08 15:40:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
:Files
C:\WINDOWS\system32\30AF2DA780906D2D623F.exe
C:\WINDOWS\System32\winsh32?
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________

__________________

Alt 29.05.2012, 19:36   #3
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Hallo,
Windows lässt sich wieder hochfahren!
hier nun der Wortlaut des Logfiles:

========== OTL ==========
Registry value HKEY_USERS\TMH_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\80906D2D deleted successfully.
C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\30AF2DA780906D2D623F.exe deleted successfully.
C:\WINDOWS\system32\30AF2DA780906D2D623F.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32\30AF2DA780906D2D623F.exe not found.
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 05292012_220512


und den gezippte movedfiles ordner lade ich gleich im Anschluss wie verlangt hoch.

Zusatzinfo:
Windows-System-Dateien werden wieder normal angezeigt,

alle weiteren Dateien sind immernoch verschlüsselt.

Ich möchte aber nur einen überschaubaren Teil davon wiederherstellen, bevor ich dann das ganze System platt mache. Ich hoffe Ihr könnt mir dabei weiterhelfen?
Vielen Dank schonmal
__________________

Alt 30.05.2012, 09:43   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Zitat:
alle weiteren Dateien sind immernoch verschlüsselt.
Es stand aich nirgend, dass OTL Daten entschlüssen kann! Zudem gibt es deutliche Hinweise oben gneug wie man Daten entschlüsseln kann sofern es schon ein passendes Tool für deine Variante gibt!

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.05.2012, 12:46   #5
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Hallo Arne,
der malware-scan hat nix gefunden. Hier das Logfile:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.30.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
TMH :: P1 [Administrator]

30.05.2012 12:40:52
mbam-log-2012-05-30 (12-40-52).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 221018
Laufzeit: 2 Stunde(n), 8 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Danach habe ich den Eset-Scan laufen lassen.
Hier das zugehörige Logfile:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=12217dd971a0df4c859414b18ca51c4e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-31 07:52:19
# local_time=2012-05-31 09:52:19 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 3007 3007 0 0
# scanned=0
# found=0
# cleaned=0
# scan_time=0
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=12217dd971a0df4c859414b18ca51c4e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-31 10:56:11
# local_time=2012-05-31 12:56:11 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 7071 7071 0 0
# scanned=46690
# found=4
# cleaned=0
# scan_time=6971
C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\Buchung.zip	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\mrynwsfipz.pre	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05292012_220512\C_Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05292012_220512\C_WINDOWS\system32\30AF2DA780906D2D623F.exe	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
         
Der ESET-scan hat diverse Dateien identifiziert, aber nicht verschoben oder gelöscht. Wie soll ich nun fortfahren? Dateien löschen, hochladen...?
Mit der Entschlüsselung meiner alten Daten werde ich erst anfangen sobald ich wieder trojanerfrei bin.

Viele Grüße


Alt 31.05.2012, 13:30   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Zitat:
C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\Buchung.zip
C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\mrynwsfipz.pre
Diese Dateien bitte mal hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
__________________
--> Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich

Alt 31.05.2012, 17:18   #7
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Die Dateien habe ich wie gewünscht hochgeladen. Was ist noch zu tun? Könnt ihr aus diesen Daten erkennen, um welche Art von Verschlüsselung es sich in meinem Fall handelt und welches Tool am besten für die Entschlüsselung geeignet ist?

Alt 31.05.2012, 18:48   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Glaubst du wir sind Magier?
Man kommt nicht an die Entschlüsselungsmethode nur weil man die Datei hat, da steckt richtig harte Analysearbeit hinter! Also mal etwas Geduld bitte!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? (abgesehen von den verschlüsselten Dateien)
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.06.2012, 10:57   #9
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Ja, ich glaube gaanz fest an eure magische Tastatur!!!

Windows lässt sich problemlos öffnen und im Startmenü sind auch keinerlei leere Ordner zu finden.

Alt 01.06.2012, 14:10   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.06.2012, 22:04   #11
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Hier nun das OTL-Logfile nach dem Qickscan:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 01.06.2012 22:41:06 - Run 1
OTL by OldTimer - Version 3.2.45.0     Folder = C:\Dokumente und Einstellungen\TMH\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,17 Mb Total Physical Memory | 719,72 Mb Available Physical Memory | 70,41% Memory free
2,41 Gb Paging File | 2,23 Gb Available in Paging File | 92,57% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 33,64 Gb Total Space | 23,27 Gb Free Space | 69,18% Space Free | Partition Type: NTFS
Drive D: | 33,64 Gb Total Space | 33,44 Gb Free Space | 99,42% Space Free | Partition Type: NTFS
Drive F: | 961,25 Mb Total Space | 376,25 Mb Free Space | 39,14% Space Free | Partition Type: FAT
 
Computer Name: P1 | User Name: TMH | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.01 22:35:15 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\TMH\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
PRC - [2005.02.02 12:12:22 | 000,102,492 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2004.07.27 14:48:04 | 001,388,544 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
PRC - [2002.09.20 16:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
MOD - [2005.05.27 23:03:06 | 000,364,666 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMCoreDll.dll
MOD - [2001.10.28 17:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.04.27 18:46:36 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.02.29 08:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - [2008.04.14 04:22:38 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - [2008.04.14 04:22:16 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger)
SRV - [2008.04.14 04:22:15 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess)
SRV - [2008.04.14 04:22:07 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter)
SRV - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () [Auto | Running] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service)
SRV - [2002.09.20 16:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2010.12.08 21:56:36 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)
DRV - [2008.04.14 03:58:18 | 000,154,112 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmio.sys -- (dmio)
DRV - [2008.04.14 03:58:13 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2008.04.13 20:32:36 | 000,066,048 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\udfs.sys -- (Udfs)
DRV - [2005.06.28 07:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.06.08 17:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter)
DRV - [2005.04.30 17:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2005.04.18 23:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\risdptsk.sys -- (risdptsk)
DRV - [2004.12.06 16:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2004.12.05 22:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2004.08.04 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\cbidf2k.sys -- (cbidf2k)
DRV - [2004.08.04 14:00:00 | 000,005,888 | ---- | M] (Microsoft Corp., Veritas Software.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmload.sys -- (dmload)
DRV - [2004.05.26 15:18:18 | 000,044,928 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.27 18:46:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.04.15 21:43:07 | 000,000,000 | ---D | M]
 
[2010.12.08 22:32:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla\Extensions
[2012.06.01 21:49:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla\Firefox\Profiles\hw42as3f.default\extensions
[2012.01.12 19:09:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.04.30 18:32:43 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.04.27 18:46:35 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012.01.12 19:09:28 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.01.12 19:09:28 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.01.12 19:09:28 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.01.12 19:09:28 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.01.12 19:09:28 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.01.12 19:09:28 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.05.30 04:05:17 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CF361CAA-0FF1-4711-A503-BBDE29E3263E}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun\command - "" = E:\reatogoMenu.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 2
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
 
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.05.31 09:02:12 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.05.30 12:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Malwarebytes
[2012.05.30 12:38:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.05.30 12:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.05.30 12:38:11 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.05.30 12:38:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.05.30 04:05:12 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.05.23 22:54:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
[2012.05.23 22:53:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012.05.07 22:12:42 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\TMH\Recent
[2012.05.07 22:06:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\vlc
[2012.05.07 12:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular
[2012.05.07 12:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular
[2012.05.07 12:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012.05.07 12:05:34 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.01 21:38:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.05.30 12:38:21 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.29 22:15:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.05.21 23:10:11 | 000,036,471 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\dOADGvLXfNyesQoaUOAl
[2012.05.09 20:36:30 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.09 20:01:15 | 000,449,418 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.09 20:01:15 | 000,433,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.09 20:01:15 | 000,080,936 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.09 20:01:15 | 000,068,094 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.09 19:50:21 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.05.08 15:26:52 | 000,067,157 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\qetuEaUgjDxJnXVN
[2012.05.07 21:56:11 | 032,655,308 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\OjDxvLXfNyetuoadgjlG
[2012.05.07 12:07:17 | 000,000,854 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012.05.07 12:01:54 | 060,109,528 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\DxvLpVNqetuoTdOjlxJL
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.05.30 12:38:21 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.09 19:46:07 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2012.05.08 07:33:00 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.07 12:07:17 | 000,000,854 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012.02.16 08:11:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.01.29 22:29:45 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011.01.01 19:24:54 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.12.12 15:42:08 | 000,045,056 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.08 22:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.12.08 21:56:39 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2010.12.08 21:53:06 | 000,095,617 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2010.12.08 21:42:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.12.08 21:37:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.12.08 21:16:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
 
========== LOP Check ==========
 
[2012.05.23 23:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012.05.30 04:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
[2012.05.07 09:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon
[2011.02.15 19:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing
[2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.05.07 12:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular
[2011.02.08 21:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org
[2010.12.31 01:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif
[2010.12.22 01:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.07.28 21:52:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Adobe
[2010.12.09 00:09:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\AdobeUM
[2010.12.19 17:25:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\AVS4YOU
[2012.05.30 04:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
[2012.05.07 09:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon
[2011.08.14 21:03:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\CyberLink
[2011.02.15 19:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing
[2010.12.08 23:57:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DivX
[2011.08.14 20:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\dvdcss
[2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.05.07 12:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular
[2010.12.08 22:11:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Help
[2010.12.08 21:48:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Identities
[2010.12.08 22:36:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Macromedia
[2012.05.30 12:38:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Malwarebytes
[2010.12.20 19:43:53 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft
[2010.12.08 22:32:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla
[2011.02.08 21:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org
[2010.12.31 01:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif
[2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Skype
[2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\skypePM
[2011.02.08 20:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Sun
[2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\vlc
[2010.12.22 01:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.12.08 22:14:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2010.12.08 22:14:56 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2010.12.08 22:14:56 | 000,434,176 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
<           >

< End of report >
         
--- --- ---

[/code]

Alt 02.06.2012, 18:13   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun\command - "" = E:\reatogoMenu.exe
:Files
C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.06.2012, 10:36   #13
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Hallo,
hier das Logfile vom letzten fix:
Code:
ATTFilter
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found.
File E:\reatogoMenu.exe not found.
========== FILES ==========
C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: TMH
->Temp folder emptied: 109707520 bytes
->Temporary Internet Files folder emptied: 7733894 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 100312675 bytes
->Flash cache emptied: 4159 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65536 bytes
RecycleBin emptied: 89562 bytes
 
Total Files Cleaned = 210,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: TMH
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.45.0 log created on 06032012_122245

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 03.06.2012, 13:31   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.06.2012, 14:00   #15
T_H
 
Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Standard

Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich



TDSS-Killer Scan durchgeführt. Hier das Logfile:
Code:
ATTFilter
15:55:15.0796 3996	TDSS rootkit removing tool 2.7.36.0 May 21 2012 16:40:16
15:55:16.0015 3996	============================================================
15:55:16.0015 3996	Current date / time: 2012/06/03 15:55:16.0015
15:55:16.0015 3996	SystemInfo:
15:55:16.0015 3996	
15:55:16.0015 3996	OS Version: 5.1.2600 ServicePack: 3.0
15:55:16.0015 3996	Product type: Workstation
15:55:16.0015 3996	ComputerName: P1
15:55:16.0015 3996	UserName: TMH
15:55:16.0015 3996	Windows directory: C:\WINDOWS
15:55:16.0015 3996	System windows directory: C:\WINDOWS
15:55:16.0015 3996	Processor architecture: Intel x86
15:55:16.0015 3996	Number of processors: 1
15:55:16.0015 3996	Page size: 0x1000
15:55:16.0015 3996	Boot type: Normal boot
15:55:16.0015 3996	============================================================
15:55:18.0625 3996	Drive \Device\Harddisk0\DR0 - Size: 0x10D26F5C00 (67.29 Gb), SectorSize: 0x200, Cylinders: 0x224F, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
15:55:18.0625 3996	Drive \Device\Harddisk1\DR3 - Size: 0x3C200000 (0.94 Gb), SectorSize: 0x200, Cylinders: 0x7A, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
15:55:18.0625 3996	============================================================
15:55:18.0625 3996	\Device\Harddisk0\DR0:
15:55:18.0625 3996	MBR partitions:
15:55:18.0625 3996	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4346028
15:55:18.0640 3996	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x43460A6, BlocksNum 0x4346028
15:55:18.0656 3996	\Device\Harddisk1\DR3:
15:55:18.0656 3996	MBR partitions:
15:55:18.0656 3996	\Device\Harddisk1\DR3\Partition0: MBR, Type 0x6, StartLBA 0x20, BlocksNum 0x1E0FE0
15:55:18.0656 3996	============================================================
15:55:18.0687 3996	C: <-> \Device\Harddisk0\DR0\Partition0
15:55:18.0750 3996	D: <-> \Device\Harddisk0\DR0\Partition1
15:55:18.0812 3996	============================================================
15:55:18.0812 3996	Initialize success
15:55:18.0812 3996	============================================================
15:56:24.0109 2444	============================================================
15:56:24.0109 2444	Scan started
15:56:24.0109 2444	Mode: Manual; 
15:56:24.0109 2444	============================================================
15:56:24.0875 2444	Abiosdsk - ok
15:56:24.0875 2444	abp480n5 - ok
15:56:25.0046 2444	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:56:25.0156 2444	ACPI - ok
15:56:25.0187 2444	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
15:56:25.0187 2444	ACPIEC - ok
15:56:25.0203 2444	adpu160m - ok
15:56:25.0312 2444	aeaudio         (cde1f62fe63631b932ace2249fb11da0) C:\WINDOWS\system32\drivers\aeaudio.sys
15:56:25.0312 2444	aeaudio - ok
15:56:25.0421 2444	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
15:56:25.0500 2444	aec - ok
15:56:25.0625 2444	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
15:56:25.0718 2444	AFD - ok
15:56:25.0718 2444	Aha154x - ok
15:56:25.0734 2444	aic78u2 - ok
15:56:25.0734 2444	aic78xx - ok
15:56:25.0781 2444	Alerter         (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll
15:56:25.0796 2444	Alerter - ok
15:56:25.0843 2444	ALG             (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe
15:56:25.0875 2444	ALG - ok
15:56:25.0875 2444	AliIde - ok
15:56:25.0875 2444	amsint - ok
15:56:25.0890 2444	AppMgmt - ok
15:56:25.0937 2444	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
15:56:25.0984 2444	Arp1394 - ok
15:56:25.0984 2444	asc - ok
15:56:25.0984 2444	asc3350p - ok
15:56:26.0000 2444	asc3550 - ok
15:56:26.0125 2444	aspnet_state    (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
15:56:26.0156 2444	aspnet_state - ok
15:56:26.0187 2444	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
15:56:26.0187 2444	AsyncMac - ok
15:56:26.0250 2444	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
15:56:26.0265 2444	atapi - ok
15:56:26.0265 2444	Atdisk - ok
15:56:26.0531 2444	Ati HotKey Poller (06b67e6a0b679d037d2d9e27a64ce90c) C:\WINDOWS\system32\Ati2evxx.exe
15:56:26.0750 2444	Ati HotKey Poller - ok
15:56:27.0531 2444	ati2mtag        (d5537cc8cc9a86668e3903bd53caa83c) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
15:56:27.0546 2444	ati2mtag - ok
15:56:27.0625 2444	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
15:56:27.0656 2444	Atmarpc - ok
15:56:27.0718 2444	AudioSrv        (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll
15:56:27.0750 2444	AudioSrv - ok
15:56:27.0796 2444	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
15:56:27.0796 2444	audstub - ok
15:56:27.0875 2444	bcm4sbxp        (78123f44be9e4768852a3a017e02d637) C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys
15:56:27.0890 2444	bcm4sbxp - ok
15:56:27.0937 2444	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
15:56:27.0953 2444	Beep - ok
15:56:28.0218 2444	BITS            (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll
15:56:28.0500 2444	BITS - ok
15:56:28.0578 2444	Browser         (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll
15:56:28.0625 2444	Browser - ok
15:56:28.0656 2444	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
15:56:28.0671 2444	cbidf2k - ok
15:56:28.0671 2444	cd20xrnt - ok
15:56:28.0703 2444	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
15:56:28.0718 2444	Cdaudio - ok
15:56:28.0781 2444	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
15:56:28.0812 2444	Cdfs - ok
15:56:28.0859 2444	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
15:56:28.0906 2444	Cdrom - ok
15:56:28.0906 2444	Changer - ok
15:56:28.0937 2444	CiSvc           (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe
15:56:28.0937 2444	CiSvc - ok
15:56:28.0984 2444	ClipSrv         (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe
15:56:29.0000 2444	ClipSrv - ok
15:56:29.0171 2444	clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
15:56:29.0218 2444	clr_optimization_v2.0.50727_32 - ok
15:56:29.0250 2444	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
15:56:29.0250 2444	CmBatt - ok
15:56:29.0265 2444	CmdIde - ok
15:56:29.0296 2444	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
15:56:29.0312 2444	Compbatt - ok
15:56:29.0312 2444	COMSysApp - ok
15:56:29.0328 2444	Cpqarray - ok
15:56:29.0390 2444	CryptSvc        (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll
15:56:29.0421 2444	CryptSvc - ok
15:56:29.0437 2444	dac2w2k - ok
15:56:29.0437 2444	dac960nt - ok
15:56:29.0718 2444	DcomLaunch      (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
15:56:29.0968 2444	DcomLaunch - ok
15:56:30.0062 2444	Dhcp            (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll
15:56:30.0125 2444	Dhcp - ok
15:56:30.0156 2444	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
15:56:30.0187 2444	Disk - ok
15:56:30.0187 2444	dmadmin - ok
15:56:30.0734 2444	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
15:56:31.0203 2444	dmboot - ok
15:56:31.0312 2444	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
15:56:31.0406 2444	dmio - ok
15:56:31.0437 2444	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
15:56:31.0453 2444	dmload - ok
15:56:31.0484 2444	dmserver        (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll
15:56:31.0500 2444	dmserver - ok
15:56:31.0562 2444	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
15:56:31.0593 2444	DMusic - ok
15:56:31.0671 2444	Dnscache        (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll
15:56:31.0703 2444	Dnscache - ok
15:56:31.0734 2444	DOSMEMIO        (8a4cb9438571814b128b6dc30d698064) C:\WINDOWS\system32\MEMIO.SYS
15:56:31.0734 2444	DOSMEMIO - ok
15:56:31.0843 2444	Dot3svc         (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll
15:56:31.0921 2444	Dot3svc - ok
15:56:31.0921 2444	dpti2o - ok
15:56:31.0953 2444	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
15:56:31.0953 2444	drmkaud - ok
15:56:32.0000 2444	EapHost         (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll
15:56:32.0015 2444	EapHost - ok
15:56:32.0078 2444	ERSvc           (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll
15:56:32.0093 2444	ERSvc - ok
15:56:32.0187 2444	Eventlog        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
15:56:32.0250 2444	Eventlog - ok
15:56:32.0437 2444	EventSystem     (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll
15:56:32.0578 2444	EventSystem - ok
15:56:32.0687 2444	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
15:56:32.0781 2444	Fastfat - ok
15:56:32.0906 2444	FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
15:56:33.0000 2444	FastUserSwitchingCompatibility - ok
15:56:33.0046 2444	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
15:56:33.0062 2444	Fdc - ok
15:56:33.0140 2444	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
15:56:33.0140 2444	Fips - ok
15:56:33.0156 2444	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
15:56:33.0171 2444	Flpydisk - ok
15:56:33.0265 2444	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
15:56:33.0343 2444	FltMgr - ok
15:56:33.0468 2444	FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
15:56:33.0515 2444	FontCache3.0.0.0 - ok
15:56:33.0546 2444	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
15:56:33.0546 2444	Fs_Rec - ok
15:56:33.0640 2444	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
15:56:33.0703 2444	Ftdisk - ok
15:56:33.0750 2444	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
15:56:33.0781 2444	Gpc - ok
15:56:33.0859 2444	helpsvc         (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
15:56:33.0875 2444	helpsvc - ok
15:56:33.0921 2444	HidServ         (b35da85e60c0103f2e4104532da2f12b) C:\WINDOWS\System32\hidserv.dll
15:56:33.0937 2444	HidServ - ok
15:56:33.0953 2444	hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
15:56:33.0953 2444	hidusb - ok
15:56:34.0031 2444	hkmsvc          (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll
15:56:34.0078 2444	hkmsvc - ok
15:56:34.0078 2444	hpn - ok
15:56:34.0281 2444	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
15:56:34.0390 2444	HTTP - ok
15:56:34.0437 2444	HTTPFilter      (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll
15:56:34.0437 2444	HTTPFilter - ok
15:56:34.0453 2444	i2omgmt - ok
15:56:34.0453 2444	i2omp - ok
15:56:34.0515 2444	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
15:56:34.0546 2444	i8042prt - ok
15:56:35.0125 2444	idsvc           (c01ac32dc5c03076cfb852cb5da5229c) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
15:56:35.0687 2444	idsvc - ok
15:56:35.0734 2444	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
15:56:35.0765 2444	Imapi - ok
15:56:35.0859 2444	ImapiService    (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe
15:56:35.0953 2444	ImapiService - ok
15:56:35.0953 2444	ini910u - ok
15:56:35.0984 2444	IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
15:56:35.0984 2444	IntelIde - ok
15:56:36.0046 2444	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
15:56:36.0078 2444	intelppm - ok
15:56:36.0140 2444	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
15:56:36.0156 2444	Ip6Fw - ok
15:56:36.0218 2444	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
15:56:36.0250 2444	IpFilterDriver - ok
15:56:36.0281 2444	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
15:56:36.0296 2444	IpInIp - ok
15:56:36.0406 2444	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
15:56:36.0500 2444	IpNat - ok
15:56:36.0562 2444	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
15:56:36.0609 2444	IPSec - ok
15:56:36.0640 2444	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
15:56:36.0640 2444	IRENUM - ok
15:56:36.0687 2444	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
15:56:36.0703 2444	isapnp - ok
15:56:36.0937 2444	JavaQuickStarterService (381b25dc8e958d905b33130d500bbf29) C:\Programme\Java\jre6\bin\jqs.exe
15:56:37.0031 2444	JavaQuickStarterService - ok
15:56:37.0062 2444	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
15:56:37.0078 2444	Kbdclass - ok
15:56:37.0203 2444	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
15:56:37.0296 2444	kmixer - ok
15:56:37.0390 2444	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
15:56:37.0453 2444	KSecDD - ok
15:56:37.0546 2444	lanmanserver    (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll
15:56:37.0625 2444	lanmanserver - ok
15:56:37.0734 2444	lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll
15:56:37.0828 2444	lanmanworkstation - ok
15:56:37.0843 2444	lbrtfdc - ok
15:56:37.0890 2444	LmHosts         (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll
15:56:37.0906 2444	LmHosts - ok
15:56:37.0953 2444	Messenger       (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll
15:56:37.0984 2444	Messenger - ok
15:56:38.0015 2444	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
15:56:38.0031 2444	mnmdd - ok
15:56:38.0078 2444	mnmsrvc         (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe
15:56:38.0109 2444	mnmsrvc - ok
15:56:38.0156 2444	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
15:56:38.0171 2444	Modem - ok
15:56:38.0187 2444	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
15:56:38.0203 2444	Mouclass - ok
15:56:38.0250 2444	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
15:56:38.0265 2444	mouhid - ok
15:56:38.0296 2444	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
15:56:38.0328 2444	MountMgr - ok
15:56:38.0453 2444	MozillaMaintenance (96aa8ba23142cc8e2b30f3cae0c80254) C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
15:56:38.0546 2444	MozillaMaintenance - ok
15:56:38.0546 2444	mraid35x - ok
15:56:38.0687 2444	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
15:56:38.0796 2444	MRxDAV - ok
15:56:39.0109 2444	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
15:56:39.0390 2444	MRxSmb - ok
15:56:39.0406 2444	MSDTC           (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe
15:56:39.0421 2444	MSDTC - ok
15:56:39.0437 2444	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
15:56:39.0453 2444	Msfs - ok
15:56:39.0453 2444	MSIServer - ok
15:56:39.0484 2444	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
15:56:39.0484 2444	MSKSSRV - ok
15:56:39.0500 2444	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
15:56:39.0500 2444	MSPCLOCK - ok
15:56:39.0515 2444	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
15:56:39.0515 2444	MSPQM - ok
15:56:39.0703 2444	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
15:56:39.0703 2444	mssmbios - ok
15:56:39.0796 2444	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
15:56:39.0859 2444	Mup - ok
15:56:40.0062 2444	napagent        (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll
15:56:40.0250 2444	napagent - ok
15:56:40.0406 2444	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
15:56:40.0515 2444	NDIS - ok
15:56:40.0578 2444	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
15:56:40.0593 2444	NdisTapi - ok
15:56:40.0609 2444	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
15:56:40.0625 2444	Ndisuio - ok
15:56:40.0687 2444	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
15:56:40.0734 2444	NdisWan - ok
15:56:40.0781 2444	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
15:56:40.0812 2444	NDProxy - ok
15:56:40.0843 2444	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
15:56:40.0859 2444	NetBIOS - ok
15:56:40.0984 2444	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
15:56:41.0078 2444	NetBT - ok
15:56:41.0187 2444	NetDDE          (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
15:56:41.0265 2444	NetDDE - ok
15:56:41.0265 2444	NetDDEdsdm      (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
15:56:41.0265 2444	NetDDEdsdm - ok
15:56:41.0296 2444	Netlogon        (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
15:56:41.0312 2444	Netlogon - ok
15:56:41.0437 2444	Netman          (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll
15:56:41.0562 2444	Netman - ok
15:56:41.0781 2444	NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
15:56:41.0859 2444	NetTcpPortSharing - ok
15:56:41.0937 2444	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
15:56:41.0968 2444	NIC1394 - ok
15:56:42.0156 2444	Nla             (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll
15:56:42.0296 2444	Nla - ok
15:56:42.0343 2444	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
15:56:42.0359 2444	Npfs - ok
15:56:42.0718 2444	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
15:56:43.0062 2444	Ntfs - ok
15:56:43.0078 2444	NtLmSsp         (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
15:56:43.0078 2444	NtLmSsp - ok
15:56:43.0359 2444	NtmsSvc         (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll
15:56:43.0640 2444	NtmsSvc - ok
15:56:43.0687 2444	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
15:56:43.0687 2444	Null - ok
15:56:43.0734 2444	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
15:56:43.0750 2444	NwlnkFlt - ok
15:56:43.0781 2444	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
15:56:43.0796 2444	NwlnkFwd - ok
15:56:43.0859 2444	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
15:56:43.0906 2444	ohci1394 - ok
15:56:43.0984 2444	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
15:56:44.0031 2444	Parport - ok
15:56:44.0062 2444	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
15:56:44.0078 2444	PartMgr - ok
15:56:44.0109 2444	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
15:56:44.0109 2444	ParVdm - ok
15:56:44.0156 2444	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
15:56:44.0203 2444	PCI - ok
15:56:44.0203 2444	PCIDump - ok
15:56:44.0234 2444	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
15:56:44.0234 2444	PCIIde - ok
15:56:44.0312 2444	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
15:56:44.0390 2444	Pcmcia - ok
15:56:44.0406 2444	PDCOMP - ok
15:56:44.0421 2444	PDFRAME - ok
15:56:44.0421 2444	PDRELI - ok
15:56:44.0421 2444	PDRFRAME - ok
15:56:44.0437 2444	perc2 - ok
15:56:44.0437 2444	perc2hib - ok
15:56:44.0546 2444	PlugPlay        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
15:56:44.0546 2444	PlugPlay - ok
15:56:44.0578 2444	PolicyAgent     (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
15:56:44.0578 2444	PolicyAgent - ok
15:56:44.0625 2444	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
15:56:44.0656 2444	PptpMiniport - ok
15:56:44.0656 2444	ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
15:56:44.0656 2444	ProtectedStorage - ok
15:56:44.0718 2444	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
15:56:44.0750 2444	PSched - ok
15:56:44.0781 2444	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
15:56:44.0781 2444	Ptilink - ok
15:56:44.0859 2444	PxHelp20        (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
15:56:44.0890 2444	PxHelp20 - ok
15:56:44.0890 2444	ql1080 - ok
15:56:44.0906 2444	Ql10wnt - ok
15:56:44.0906 2444	ql12160 - ok
15:56:44.0906 2444	ql1240 - ok
15:56:44.0921 2444	ql1280 - ok
15:56:44.0937 2444	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
15:56:44.0937 2444	RasAcd - ok
15:56:45.0015 2444	RasAuto         (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll
15:56:45.0078 2444	RasAuto - ok
15:56:45.0125 2444	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
15:56:45.0156 2444	Rasl2tp - ok
15:56:45.0312 2444	RasMan          (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll
15:56:45.0437 2444	RasMan - ok
15:56:45.0468 2444	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
15:56:45.0500 2444	RasPppoe - ok
15:56:45.0515 2444	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
15:56:45.0531 2444	Raspti - ok
15:56:45.0656 2444	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
15:56:45.0750 2444	Rdbss - ok
15:56:45.0765 2444	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
15:56:45.0765 2444	RDPCDD - ok
15:56:45.0906 2444	RDPWD           (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys
15:56:46.0000 2444	RDPWD - ok
15:56:46.0109 2444	RDSessMgr       (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe
15:56:46.0187 2444	RDSessMgr - ok
15:56:46.0250 2444	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
15:56:46.0281 2444	redbook - ok
15:56:46.0359 2444	RemoteAccess    (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll
15:56:46.0390 2444	RemoteAccess - ok
15:56:46.0468 2444	rimsptsk        (5338e12cc00f6ce1b11e252fff25ac1e) C:\WINDOWS\system32\DRIVERS\rimsptsk.sys
15:56:46.0500 2444	rimsptsk - ok
15:56:46.0515 2444	risdptsk        (c5b1e7188d110aa23961f29abbad8a47) C:\WINDOWS\system32\DRIVERS\risdptsk.sys
15:56:46.0546 2444	risdptsk - ok
15:56:46.0750 2444	rismxdp         (3f535dd8d6fb8c22c37ba2a8c4a32c81) C:\WINDOWS\system32\DRIVERS\rixdptsk.sys
15:56:46.0937 2444	rismxdp - ok
15:56:47.0015 2444	RpcLocator      (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe
15:56:47.0062 2444	RpcLocator - ok
15:56:47.0328 2444	RpcSs           (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
15:56:47.0328 2444	RpcSs - ok
15:56:47.0437 2444	RSVP            (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe
15:56:47.0515 2444	RSVP - ok
15:56:47.0562 2444	SamSs           (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
15:56:47.0562 2444	SamSs - ok
15:56:47.0656 2444	SCardSvr        (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe
15:56:47.0718 2444	SCardSvr - ok
15:56:47.0875 2444	Schedule        (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll
15:56:47.0984 2444	Schedule - ok
15:56:48.0062 2444	sdbus           (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
15:56:48.0109 2444	sdbus - ok
15:56:48.0171 2444	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
15:56:48.0171 2444	Secdrv - ok
15:56:48.0218 2444	seclogon        (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll
15:56:48.0218 2444	seclogon - ok
15:56:48.0265 2444	SENS            (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll
15:56:48.0281 2444	SENS - ok
15:56:48.0328 2444	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
15:56:48.0375 2444	Serial - ok
15:56:48.0390 2444	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
15:56:48.0406 2444	Sfloppy - ok
15:56:48.0640 2444	SharedAccess    (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll
15:56:48.0828 2444	SharedAccess - ok
15:56:48.0937 2444	ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
15:56:48.0953 2444	ShellHWDetection - ok
15:56:48.0953 2444	Simbad - ok
15:56:49.0125 2444	SkypeUpdate     (6128e98eaaed364ed1a32708d2fd22cb) C:\Programme\Skype\Updater\Updater.exe
15:56:49.0218 2444	SkypeUpdate - ok
15:56:49.0421 2444	smwdm           (014ab093e6452ea88031bb6e22919bb5) C:\WINDOWS\system32\drivers\smwdm.sys
15:56:49.0531 2444	smwdm - ok
15:56:49.0593 2444	SNM WLAN Service (a44fad36d97fb5ff5b57cceb581eb29f) C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
15:56:49.0609 2444	SNM WLAN Service - ok
15:56:49.0671 2444	SoundMAX Agent Service (default) (3978f082274f723ad5a0a8058c2417dd) C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
15:56:49.0687 2444	SoundMAX Agent Service (default) - ok
15:56:49.0703 2444	Sparrow - ok
15:56:49.0703 2444	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
15:56:49.0718 2444	splitter - ok
15:56:49.0796 2444	Spooler         (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe
15:56:49.0828 2444	Spooler - ok
15:56:49.0890 2444	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
15:56:49.0937 2444	sr - ok
15:56:50.0062 2444	srservice       (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll
15:56:50.0171 2444	srservice - ok
15:56:50.0421 2444	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
15:56:50.0671 2444	Srv - ok
15:56:50.0734 2444	SSDPSRV         (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll
15:56:50.0765 2444	SSDPSRV - ok
15:56:51.0000 2444	stisvc          (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll
15:56:51.0187 2444	stisvc - ok
15:56:51.0234 2444	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
15:56:51.0234 2444	swenum - ok
15:56:51.0281 2444	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
15:56:51.0312 2444	swmidi - ok
15:56:51.0328 2444	SwPrv - ok
15:56:51.0328 2444	symc810 - ok
15:56:51.0328 2444	symc8xx - ok
15:56:51.0343 2444	sym_hi - ok
15:56:51.0343 2444	sym_u3 - ok
15:56:51.0500 2444	SynTP           (1dbc86da355b5db35174f862c110fd09) C:\WINDOWS\system32\DRIVERS\SynTP.sys
15:56:51.0625 2444	SynTP - ok
15:56:51.0671 2444	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
15:56:51.0703 2444	sysaudio - ok
15:56:51.0796 2444	SysmonLog       (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe
15:56:51.0843 2444	SysmonLog - ok
15:56:52.0015 2444	TapiSrv         (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll
15:56:52.0171 2444	TapiSrv - ok
15:56:52.0421 2444	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
15:56:52.0640 2444	Tcpip - ok
15:56:52.0671 2444	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
15:56:52.0671 2444	TDPIPE - ok
15:56:52.0703 2444	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
15:56:52.0718 2444	TDTCP - ok
15:56:52.0765 2444	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
15:56:52.0796 2444	TermDD - ok
15:56:53.0031 2444	TermService     (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll
15:56:53.0203 2444	TermService - ok
15:56:53.0328 2444	Themes          (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
15:56:53.0328 2444	Themes - ok
15:56:53.0328 2444	TosIde - ok
15:56:53.0406 2444	TrkWks          (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll
15:56:53.0453 2444	TrkWks - ok
15:56:53.0531 2444	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
15:56:53.0593 2444	Udfs - ok
15:56:53.0593 2444	ultra - ok
15:56:53.0656 2444	UMWdf           (c81b8635dee0d3ef5f64b3dd643023a5) C:\WINDOWS\system32\wdfmgr.exe
15:56:53.0671 2444	UMWdf - ok
15:56:53.0921 2444	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
15:56:54.0156 2444	Update - ok
15:56:54.0296 2444	upnphost        (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll
15:56:54.0406 2444	upnphost - ok
15:56:54.0437 2444	UPS             (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe
15:56:54.0453 2444	UPS - ok
15:56:54.0500 2444	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
15:56:54.0531 2444	usbehci - ok
15:56:54.0578 2444	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
15:56:54.0609 2444	usbhub - ok
15:56:54.0671 2444	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
15:56:54.0687 2444	usbprint - ok
15:56:54.0734 2444	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
15:56:54.0750 2444	usbscan - ok
15:56:54.0812 2444	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
15:56:54.0828 2444	USBSTOR - ok
15:56:54.0859 2444	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
15:56:54.0859 2444	usbuhci - ok
15:56:54.0890 2444	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
15:56:54.0906 2444	VgaSave - ok
15:56:54.0906 2444	ViaIde - ok
15:56:54.0953 2444	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
15:56:54.0984 2444	VolSnap - ok
15:56:55.0218 2444	VSS             (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe
15:56:55.0390 2444	VSS - ok
15:56:57.0500 2444	w29n51          (67caa926ef06e07f2d31056b39f51c54) C:\WINDOWS\system32\DRIVERS\w29n51.sys
15:56:59.0546 2444	w29n51 - ok
15:57:00.0140 2444	W32Time         (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll
15:57:00.0234 2444	W32Time - ok
15:57:00.0359 2444	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
15:57:00.0375 2444	Wanarp - ok
15:57:00.0390 2444	WDICA - ok
15:57:00.0453 2444	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
15:57:00.0515 2444	wdmaud - ok
15:57:00.0578 2444	WebClient       (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll
15:57:00.0609 2444	WebClient - ok
15:57:00.0781 2444	winmgmt         (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll
15:57:00.0859 2444	winmgmt - ok
15:57:00.0921 2444	WmdmPmSN        (a477391b7a8b0a0daabadb17cf533a4b) C:\WINDOWS\system32\MsPMSNSv.dll
15:57:00.0937 2444	WmdmPmSN - ok
15:57:01.0046 2444	WmiApSrv        (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe
15:57:01.0125 2444	WmiApSrv - ok
15:57:01.0171 2444	wowfilter       (c5ccf7e7893c49b101a29c576ba294d4) C:\WINDOWS\system32\drivers\wowfilter.sys
15:57:01.0187 2444	wowfilter - ok
15:57:01.0218 2444	WpdUsb          (c1b3d9d75c3fb735f5fa3a5806aded57) C:\WINDOWS\system32\Drivers\wpdusb.sys
15:57:01.0234 2444	WpdUsb - ok
15:57:01.0328 2444	wscsvc          (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll
15:57:01.0390 2444	wscsvc - ok
15:57:01.0406 2444	wuauserv        (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll
15:57:01.0421 2444	wuauserv - ok
15:57:01.0781 2444	WZCSVC          (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll
15:57:02.0078 2444	WZCSVC - ok
15:57:02.0187 2444	xmlprov         (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll
15:57:02.0265 2444	xmlprov - ok
15:57:02.0312 2444	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
15:57:02.0906 2444	\Device\Harddisk0\DR0 - ok
15:57:02.0906 2444	MBR (0x1B8)     (e5fa06aca0d60ba9c870d0ef3d9898c9) \Device\Harddisk1\DR3
15:57:06.0468 2444	\Device\Harddisk1\DR3 - ok
15:57:06.0484 2444	Boot (0x1200)   (cb0feddb8a3b653edfc5b19e3b4f3fe8) \Device\Harddisk0\DR0\Partition0
15:57:06.0484 2444	\Device\Harddisk0\DR0\Partition0 - ok
15:57:06.0515 2444	Boot (0x1200)   (b0b75fac3e0f469f1edf547801d2f890) \Device\Harddisk0\DR0\Partition1
15:57:06.0515 2444	\Device\Harddisk0\DR0\Partition1 - ok
15:57:06.0515 2444	Boot (0x1200)   (c19faf35746f1d46288fe6e2da57da36) \Device\Harddisk1\DR3\Partition0
15:57:06.0515 2444	\Device\Harddisk1\DR3\Partition0 - ok
15:57:06.0531 2444	============================================================
15:57:06.0531 2444	Scan finished
15:57:06.0531 2444	============================================================
15:57:06.0531 3044	Detected object count: 0
15:57:06.0531 3044	Actual detected object count: 0
         

Antwort

Themen zu Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich
.dll, bho, browser, cdrom, dateien, desktop, disabletaskmgr, einstellungen, error, explorer, explorer.exe, firefox, format, homepage, ics, logfile, mozilla, nicht möglich, otl-file, registry, scan, servicepack3, software, system32, verschlüsselungs-trojaner, wallpaper, win32, windows, windows xp, winlogon



Ähnliche Themen: Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich


  1. Bundespolitik Trojaner, Abgesicherter Modus nicht möglich, Windows 8.1
    Plagegeister aller Art und deren Bekämpfung - 27.01.2015 (9)
  2. Windows vista abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 27.01.2014 (1)
  3. Windows vista abgesicherter Modus nicht möglich
    Alles rund um Windows - 26.01.2014 (1)
  4. GVU-Trojaner auf Windows XP-Rechner, abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 07.01.2014 (4)
  5. GVU Trojaner, abgesicherter Modus nicht Möglich, Windows 7 (x64)
    Plagegeister aller Art und deren Bekämpfung - 26.11.2013 (10)
  6. GVU Trojaner Windows XP - abgesicherter Modus nicht möglich - windowsunlocker ohne Erfolg
    Log-Analyse und Auswertung - 01.11.2013 (26)
  7. Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (9)
  8. Windows XP: GVU Trojaner - Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 10.08.2013 (5)
  9. GVU Trojaner, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (25)
  10. GVU Trojaner – Booten von CD und USB nicht möglich, abgesicherter Modus nur mit Eingabeaufforderung möglich
    Log-Analyse und Auswertung - 06.07.2013 (39)
  11. GVU Trojaner Windows XP Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 02.07.2013 (19)
  12. UKASH-Trojaner | Windows XP | Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 09.05.2013 (7)
  13. UKASH-Trojaner | Windows XP | Abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 16.04.2013 (7)
  14. GVU Trojaner (abgesicherter modus nicht möglich)
    Log-Analyse und Auswertung - 01.04.2013 (19)
  15. Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP - Abgesicherter Modus nicht moeglich
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (5)
  16. Verschlüsselungs Trojaner abgesicherter Modus fuktioniert nicht
    Log-Analyse und Auswertung - 05.05.2012 (7)
  17. Bundespolizei Windows XP Home (abgesicherter Modus nicht möglich)
    Log-Analyse und Auswertung - 21.03.2012 (3)

Zum Thema Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich - Bitte um Hilfe. Hier die übersicht über den OTL scan: OTL logfile created on: 5/26/2012 7:43:57 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows - Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich...
Archiv
Du betrachtest: Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.