Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: -Live Security Platinum- Logfiles anbei!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.07.2012, 16:18   #1
drumforfun
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Hallo miteinander,
habe mir am Wochenende leider das hier schon öfters gemeldeten Live Security Platinum "Programm" eingefangen. Antivir meldete noch irgendwas vonwegen "Tr/atraps.gen2", dann war es aber auch schon zu spät.

Ich habe bereits am Sonntag im abgesicherten Modus mit Malwarebytes gescannt und die Funde in Quarantäne verschoben (Logfile folgt).
Heute habe ich (ebenfalls im abgesicherten Modus) mit OTL gescannt.

Hier alle Logfiles!!

Malwarebytes
Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.29.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
***** :: *****-PC [Administrator]

29.07.2012 13:43:28
mbam-log-2012-07-29 (13-43-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|I:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 372943
Laufzeit: 25 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|0C1CFB130046FF0B1552E14BF875F002 (Trojan.LameShield) -> Daten: C:\ProgramData\0C1CFB130046FF0B1552E14BF875F002\0C1CFB130046FF0B1552E14BF875F002.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 5
C:\ProgramData\0C1CFB130046FF0B1552E14BF875F002\0C1CFB130046FF0B1552E14BF875F002.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\39AJPGZV\soft3[1].exe (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5SNSONM8\soft4[1].exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\*****\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

OTL
Code:
ATTFilter
OTL logfile created on: 31.07.2012 16:57:39 - Run 3
OTL by OldTimer - Version 3.2.55.0     Folder = C:\Users\*****\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,97 Gb Total Physical Memory | 3,28 Gb Available Physical Memory | 82,78% Memory free
7,93 Gb Paging File | 7,36 Gb Available in Paging File | 92,86% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 141,96 Gb Total Space | 98,69 Gb Free Space | 69,52% Space Free | Partition Type: NTFS
Drive D: | 323,70 Gb Total Space | 250,59 Gb Free Space | 77,41% Space Free | Partition Type: NTFS
Drive F: | 702,81 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: *****-PC | User Name: ***** | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\*****\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (Sony PC Companion) -- C:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe (Avanquest Software)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (StarMoney 7.0 OnlineUpdate) -- C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
SRV - (afcdpsrv) -- C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe (Acronis)
SRV - (SearchAnonymizer) -- C:\Users\*****\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe ()
SRV - (syncagentsrv) -- C:\Program Files (x86)\Common Files\Acronis\SyncAgent\syncagentsrv.exe (Acronis)
SRV - (TeamViewer6) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (AcrSch2Svc) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (afcdp) -- C:\Windows\SysNative\drivers\afcdp.sys (Acronis)
DRV:64bit: - (tdrpman) -- C:\Windows\SysNative\drivers\tdrpman.sys (Acronis)
DRV:64bit: - (timounter) -- C:\Windows\SysNative\drivers\timntr.sys (Acronis)
DRV:64bit: - (vididr) -- C:\Windows\SysNative\drivers\vididr.sys (Acronis)
DRV:64bit: - (vidsflt58) -- C:\Windows\SysNative\drivers\vsflt58.sys (Acronis)
DRV:64bit: - (snapman) -- C:\Windows\SysNative\drivers\snapman.sys (Acronis)
DRV:64bit: - (fltsrv) -- C:\Windows\SysNative\drivers\fltsrv.sys (Acronis)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (igfx) -- C:\Windows\SysNative\drivers\igdkmd64.sys (Intel Corporation)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV:64bit: - (s1039mdm) -- C:\Windows\SysNative\drivers\s1039mdm.sys (MCCI Corporation)
DRV:64bit: - (s1039unic) -- C:\Windows\SysNative\drivers\s1039unic.sys (MCCI Corporation)
DRV:64bit: - (s1039mgmt) -- C:\Windows\SysNative\drivers\s1039mgmt.sys (MCCI Corporation)
DRV:64bit: - (s1039obex) -- C:\Windows\SysNative\drivers\s1039obex.sys (MCCI Corporation)
DRV:64bit: - (s1039nd5) -- C:\Windows\SysNative\drivers\s1039nd5.sys (MCCI Corporation)
DRV:64bit: - (s1039mdfl) -- C:\Windows\SysNative\drivers\s1039mdfl.sys (MCCI Corporation)
DRV:64bit: - (s1039bus) -- C:\Windows\SysNative\drivers\s1039bus.sys (MCCI Corporation)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys ()
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (FPCIBASE) -- C:\Windows\SysNative\drivers\fpcibase.sys (AVM Berlin)
DRV:64bit: - (AVMCOWAN) -- C:\Windows\SysNative\drivers\avmcowan.sys (AVM GmbH)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (L1C) -- C:\Windows\SysNative\drivers\L1C62x64.sys (Atheros Communications, Inc.)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (cmuda3) -- C:\Windows\SysNative\drivers\cmudax3.sys (C-Media Inc)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = A1 08 06 FE 37 6C CD 01  [binary data]
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com.anonymize-me.de/?anonymto=687474703A2F2F7777772E62696E672E636F6D2F7365617263683F713D7B7365617263685465726D737D267372633D49452D536561726368426F7826464F524D3D494538535243&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{337D31C8-EA70-4335-854F-75D3F9FCFFD2}: "URL" = hxxp://www.myvideo.de.anonymize-me.de/?to=6D79766964656F2E6465&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{4C7C7EF9-AA41-46DC-B192-C44387708A5C}: "URL" = hxxp://search.ebay.de.anonymize-me.de/?to=656261792E6465&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{5C6037ED-D096-49A1-9379-01F22C5E198E}: "URL" = hxxp://www.amazon.de.anonymize-me.de/?to=616D617A6F6E2E6465&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{B1CFBEC9-626E-4720-8227-BCA0C2014D83}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=EC36A95E-F10E-4018-B13B-BAEBA35BE783&apn_sauid=F3E06CA0-0441-4763-93A3-C4218E6873B8
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{B473BB0C-E33C-4D8A-B6CB-8589EF0A849C}: "URL" = hxxp://www.otto.de.anonymize-me.de/?to=6F74746F2E6465&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{C9678711-2BDB-4EDF-85D4-EC27576A3432}: "URL" = hxxp://de.wikipedia.org.anonymize-me.de/?to=64652E77696B6970656469612E6F7267&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\..\SearchScopes\{F34B47E1-3C94-4B0D-A2D6-8CECEBEA98A2}: "URL" = hxxp://www.pricerunner.de.anonymize-me.de/?to=707269636572756E6E65722E6465&st={searchTerms}&clid=ae283cdb-bbb4-47a4-a0bc-5de3de20660e&pid=winsoftware&mode=bounce&k=0
IE - HKU\S-1-5-21-888866881-1600890927-698581516-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://ecosia.org/"
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6
FF - prefs.js..extensions.enabledItems: {71328583-3CA7-4809-B4BA-570A85818FBB}:0.6.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..network.proxy.no_proxies_on: "fritz.box"
FF - prefs.js..network.proxy.type: 0
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00: C:\Program Files (x86)\Sony\PLAYSTATION Network Downloader\nppsndl.dll (Sony Computer Entertainment Inc.)
FF - HKLM\Software\MozillaPlugins\@SonyCreativeSoftware.com/Media Go,version=1.0: C:\Program Files (x86)\Sony\Media Go\npmediago.dll (Sony Network Entertainment International LLC)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Programme\Adobe Reader\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: D:\Programme\Mozilla\components [2012.04.27 18:47:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: D:\Programme\Mozilla\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.06.24 00:11:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\firejump@firejump.net: C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\extensions\firejump@firejump.net [2012.04.12 10:57:28 | 000,000,000 | ---D | M]
 
[2011.09.06 17:55:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*****\AppData\Roaming\mozilla\Extensions
[2012.07.29 08:58:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions
[2011.09.15 19:54:45 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.09.15 19:54:45 | 000,000,000 | ---D | M] (CacheViewer) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\{71328583-3CA7-4809-B4BA-570A85818FBB}
[2012.03.30 16:00:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.09.15 19:54:45 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2012.04.12 10:57:28 | 000,000,000 | ---D | M] (FireJump) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\firejump@firejump.net
[2012.04.29 21:31:25 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\h0use1vb.default\extensions\toolbar@ask.com
[2012.01.03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\searchplugins\askcom.xml
[2011.09.25 13:53:21 | 000,001,030 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\searchplugins\wikipedia-de.xml
[2011.09.22 17:26:25 | 000,002,189 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\searchplugins\{27845A2B-66F3-4771-A485-BD60DD93BF82}.xml
[2011.09.22 17:26:25 | 000,001,871 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\searchplugins\{8703F9A9-7BD9-4CD2-A315-092A58113DDC}.xml
[2011.09.22 17:26:25 | 000,002,078 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\h0use1vb.default\searchplugins\{ED371E88-A2BC-484C-B32F-0FEA26646E41}.xml
[2012.04.29 21:18:25 | 000,000,000 | ---D | M] (Java Console) -- D:\PROGRAMME\MOZILLA\EXTENSIONS\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4:64bit: - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
O4:64bit: - HKLM..\Run: [CmPCIaudio] C:\Windows\Syswow64\cmicnfg3.cpl (C-Media Corporation)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [Ocs_SM] C:\Users\*****\AppData\Roaming\OCS\SM\SearchAnonymizer.exe (OCS)
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-888866881-1600890927-698581516-1000..\Run: [Sony PC Companion] C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanion.exe (Sony)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\*****\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {8C922C73-FFFA-45A3-B2C2-BC1E30074267} hxxp://www.sony.de/bravia/RegistrationAgent.cab (WalkmanRegistrar Object)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{490A8196-9FF8-43EA-8AA3-F074F73B7EFF}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{8ed21f34-db95-11e0-bbcf-14dae990a3aa}\Shell - "" = AutoRun
O33 - MountPoints2\{8ed21f34-db95-11e0-bbcf-14dae990a3aa}\Shell\AutoRun\command - "" = K:\LaunchU3.exe -a
O33 - MountPoints2\{97016865-296c-11e1-817b-404e57434402}\Shell - "" = AutoRun
O33 - MountPoints2\{97016865-296c-11e1-817b-404e57434402}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL K:\start.html
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.31 16:45:39 | 000,597,504 | ---- | C] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe
[2012.07.29 13:26:43 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Malwarebytes
[2012.07.29 13:26:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.29 13:26:30 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.07.29 13:26:30 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.07.29 13:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.07.29 11:37:21 | 000,000,000 | ---D | C] -- C:\ProgramData\0C1CFB130046FF0B1552E14BF875F002
[2012.07.27 11:11:03 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\Neuer Ordner
[2012.07.24 23:41:53 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\2012_07_24
[2012.07.23 08:50:23 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\2012_07_23
[2012.07.19 11:29:46 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\2012_07_19
[2012.07.11 17:36:58 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2012.07.11 17:36:58 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2012.07.11 17:36:58 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2012.07.11 17:36:58 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2012.07.11 17:36:57 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2012.07.11 17:36:57 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2012.07.11 17:36:57 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2012.07.11 17:36:57 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2012.07.11 17:36:55 | 002,311,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2012.07.11 17:36:55 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2012.07.11 17:36:55 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2012.07.11 17:36:55 | 000,818,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.07.11 17:36:55 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.07.11 14:19:58 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msxml3r.dll
[2012.07.11 14:19:58 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msxml3r.dll
[2012.07.11 14:19:52 | 000,307,200 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ncrypt.dll
[2012.07.11 14:19:48 | 001,462,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\crypt32.dll
[2012.07.11 14:19:48 | 000,140,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cryptnet.dll
[2012.07.11 14:19:41 | 000,805,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\cdosys.dll
[2012.07.11 14:19:40 | 001,133,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cdosys.dll
[2012.07.08 18:04:16 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\Spanien ***** 2012
[2012.07.06 20:15:23 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\browserchoice.exe
 
========== Files - Modified Within 30 Days ==========
 
File not found -- C:\Windows\SysNative\
[2012.07.31 16:45:11 | 001,480,602 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.07.31 16:45:11 | 000,647,138 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.07.31 16:45:11 | 000,609,896 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.07.31 16:45:11 | 000,127,198 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.07.31 16:45:11 | 000,104,214 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.07.31 16:38:52 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.31 16:38:46 | 3193,790,464 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.29 15:48:04 | 000,597,504 | ---- | M] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe
[2012.07.29 14:19:29 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.29 14:19:29 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.29 13:28:42 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.29 12:27:26 | 000,006,600 | ---- | M] () -- C:\bootsqm.dat
[2012.07.29 11:37:49 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe
[2012.07.29 11:27:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.27 23:19:29 | 000,256,147 | ---- | M] () -- C:\Users\*****\Desktop\***** notebook bestellung.png
[2012.07.26 22:29:10 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2012.07.26 22:29:10 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.07.26 13:25:37 | 000,001,049 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2012.07.24 23:42:21 | 000,042,435 | ---- | M] () -- C:\Users\*****\Desktop\IMG.pdf
[2012.07.15 15:55:08 | 439,317,535 | ---- | M] () -- C:\Users\*****\Desktop\14.07.2012 Kölner Lichter.mp4
[2012.07.12 08:41:26 | 000,417,080 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.07.03 15:00:25 | 000,066,312 | ---- | M] () -- C:\Users\*****\Desktop\callela.jpg
[2012.07.03 14:59:14 | 000,002,026 | ---- | M] () -- C:\Users\Public\Desktop\Sony PC Companion 2.1.lnk
[2012.07.03 13:46:44 | 000,024,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
 
========== Files Created - No Company Name ==========
 
File not found -- C:\Windows\SysNative\
[2012.07.29 13:26:31 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.29 12:27:26 | 000,006,600 | ---- | C] () -- C:\bootsqm.dat
[2012.07.29 11:37:09 | 000,001,712 | ---- | C] () -- C:\Windows\Installer\{48ff6786-2529-7c09-b5dd-2ee3e7629cc7}\U\00000001.@
[2012.07.27 23:19:29 | 000,256,147 | ---- | C] () -- C:\Users\*****\Desktop\***** notebook bestellung.png
[2012.07.26 13:25:37 | 000,001,049 | ---- | C] () -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2012.07.24 23:42:27 | 000,042,435 | ---- | C] () -- C:\Users\*****\Desktop\IMG.pdf
[2012.07.15 15:23:55 | 439,317,535 | ---- | C] () -- C:\Users\*****\Desktop\14.07.2012 Kölner Lichter.mp4
[2012.07.03 15:00:23 | 000,066,312 | ---- | C] () -- C:\Users\*****\Desktop\callela.jpg
[2012.02.25 18:51:46 | 000,003,584 | ---- | C] () -- C:\Users\*****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.01.11 13:16:13 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{48ff6786-2529-7c09-b5dd-2ee3e7629cc7}\@
[2012.01.11 13:16:13 | 000,002,048 | -HS- | C] () -- C:\Users\*****\AppData\Local\{48ff6786-2529-7c09-b5dd-2ee3e7629cc7}\@
[2011.12.28 17:58:34 | 000,000,061 | ---- | C] () -- C:\Windows\SysWow64\msrsinstall.bin
[2011.10.25 11:04:39 | 000,001,422 | ---- | C] () -- C:\Users\*****\gsview64.ini
[2011.10.15 14:13:19 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\VMix.dll
[2011.10.15 14:13:06 | 000,000,501 | ---- | C] () -- C:\Windows\Cmicnfg3.ini.imi
[2011.10.14 21:10:31 | 000,036,363 | ---- | C] () -- C:\Windows\CSTBox.INI
[2011.10.05 17:41:45 | 000,023,322 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
[2011.10.04 09:14:18 | 001,499,556 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2011.09.23 10:37:48 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2011.09.19 09:07:35 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2011.09.19 09:07:35 | 000,000,034 | ---- | C] () -- C:\Windows\SysWow64\BD2030.DAT
[2011.09.18 14:40:11 | 004,244,736 | ---- | C] () -- C:\Windows\SysWow64\qtp-mt334.dll
[2011.09.18 14:40:11 | 000,247,552 | ---- | C] () -- C:\Windows\SysWow64\prgiso.dll
[2011.09.18 14:40:11 | 000,013,840 | ---- | C] () -- C:\Windows\SysWow64\wnaspi32.dll
[2011.09.06 17:38:33 | 000,007,605 | ---- | C] () -- C:\Users\*****\AppData\Local\Resmon.ResmonCfg
[2011.02.11 19:15:08 | 000,982,240 | ---- | C] () -- C:\Windows\SysWow64\igkrng500.bin
[2011.02.11 19:15:08 | 000,439,308 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng500.bin
[2011.02.11 19:15:08 | 000,092,356 | ---- | C] () -- C:\Windows\SysWow64\igfcg500m.bin

< End of report >
         
OTL Extras
Code:
ATTFilter
OTL Extras logfile created on: 31.07.2012 16:57:39 - Run 3
OTL by OldTimer - Version 3.2.55.0     Folder = C:\Users\*****\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,97 Gb Total Physical Memory | 3,28 Gb Available Physical Memory | 82,78% Memory free
7,93 Gb Paging File | 7,36 Gb Available in Paging File | 92,86% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 141,96 Gb Total Space | 98,69 Gb Free Space | 69,52% Space Free | Partition Type: NTFS
Drive D: | 323,70 Gb Total Space | 250,59 Gb Free Space | 77,41% Space Free | Partition Type: NTFS
Drive F: | 702,81 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: *****-PC | User Name: ***** | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallDisableNotify" = 0
"FirewallOverride" = 1
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807" = CanoScan LiDE 200 Scanner Driver
"{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java(TM) 7 Update 1 (64-bit)
"{626672CD-BFCF-49A9-AEFE-AB0FED3BFC5B}" = Windows Mobile-Gerätecenter
"{64A3A4F4-B792-11D6-A78A-00B0D0170010}" = Java(TM) SE Development Kit 7 Update 1 (64-bit)
"{6E8E85E8-CE4B-4FF5-91F7-04999C9FAE6A}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"CCleaner" = CCleaner
"C-Media PCI Audio Driver" = Aureon 5.1 PCI
"DesktopIconAmazon" = Desktop Icon für Amazon
"GPL Ghostscript 9.02" = GPL Ghostscript
"SearchAnonymizer" = SearchAnonymizer
"WinRAR archiver" = WinRAR 4.10 (64-Bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{022D2599-2316-4927-89F1-9188894CEB02}" = StarMoney
"{0C187493-ACFC-41D5-8087-E4EA2329E095}" = StarMoney 7.0 
"{0E532C84-4275-41B3-9D81-D4A1A20D8EE7}" = PlayStation(R)Store
"{167A1F6A-9BF2-4B24-83DB-C6D659F680EA}" = Media Go
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{47A0C382-35D7-4A3A-B9AF-B2D38827A8A7}" = Acronis*True*Image*Home 2012
"{47A0C382-35D7-4A3A-B9AF-B2D38827A8A7}Visible" = Acronis*True*Image*Home 2012
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7EFA9A78-797E-4567-A49C-D9E5F26E9AB4}" = Acronis Sync Agent
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{90120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{B1A70A4D-549B-4C56-9C00-EF55A22E52B6}" = StarMoney
"{B6659DD8-00A7-4A24-BBFB-C1F6982E5D66}" = PlayStation(R)Network Downloader
"{D85FFE92-BF14-4E9B-BCCD-E5C16069E65F}_is1" = FireJump 1.0
"{F09EF8F2-0976-42C1-8D9D-8DF78337C6E3}" = Sony PC Companion 2.10.079
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"ElsterFormular 13.0.0.8086u" = ElsterFormular
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"LAWgistic- Betreuervergütung_is1" = LAWgistic- Betreuervergütung 1.4.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Thunderbird 14.0 (x86 de)" = Mozilla Thunderbird 14.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"PDF Blender" = PDF Blender
"PROPLUS" = Microsoft Office Professional Plus 2007
"sv.net" = sv.net
"TeamViewer 6" = TeamViewer 6
"VLC media player" = VLC media player 1.1.11
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-888866881-1600890927-698581516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 28.07.2012 10:39:54 | Computer Name = *****-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Sony\Media Go\AutoMagicWM.exe".  Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.5592""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 28.07.2012 12:30:48 | Computer Name = *****-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Sony\Media Go\AutoMagicWM.exe".  Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.5592""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 28.07.2012 13:13:30 | Computer Name = *****-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Sony\Media Go\AutoMagicWM.exe".  Die abhängige Assemblierung "Microsoft.VC80.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.5592""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 29.07.2012 02:56:15 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.07.2012 06:29:41 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.07.2012 06:56:12 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.07.2012 07:26:34 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.07.2012 08:15:24 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 31.07.2012 10:37:08 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 31.07.2012 10:40:33 | Computer Name = *****-PC | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 29.07.2012 07:25:11 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 29.07.2012 07:25:11 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 29.07.2012 07:25:12 | Computer Name = *****-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 31.07.2012 10:38:52 | Computer Name = *****-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?31.?07.?2012 um 16:37:22 unerwartet heruntergefahren.
 
Error - 31.07.2012 10:38:54 | Computer Name = *****-PC | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   avipbb  discache  spldr  Wanarpv6
 
Error - 31.07.2012 10:39:03 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 31.07.2012 10:39:10 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 31.07.2012 10:39:11 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 31.07.2012 10:39:16 | Computer Name = *****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 31.07.2012 10:40:05 | Computer Name = *****-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
 
< End of report >
         
Hoffe mir kann jemand helfen, bzw. weitere Anweisungen geben!

Vielen Dank

Alt 01.08.2012, 07:37   #2
kira
/// Helfer-Team
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Hallo und Herzlich Willkommen!

Habe leider schlechte Nachricht für Dich, da hast Du Dir ein grausliches Tierchen eingefangen:
Zitat:
win32.ZAccess
Empfiehlt sich hier das System nur mehr neu zu installieren, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!
- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Zitat:
Erklärung:
Speicherresident nennt man Programme oder Programmteile, deren Daten während des Rechnerbetriebs nicht routinemässig auf Datenträger wie die Festplatte geschrieben und bei Bedarf wieder in den Arbeitsspeicher eingelesen werden, sondern die ganze Zeit im Arbeitsspeicher verbleiben.
Dazu gehören im Allgemeinen die für den Rechnerbetrieb zentralen und häufig durchgeführten Teile des Betriebsystems oder beim Programmablauf eines Anwendungsprogrammes ständig wiederkehrende Programmroutinen.
Einerseits verkürzen speicherresidente Programme die Zugriffszeiten, weil die für das Einlesen der Daten vom Datenträger in den Arbeitsspeicher benötigte Zeit entfällt. Andererseits verringern sie die verfügbare Kapazität des Arbeitsspeichers.
Speicherresident sind auch viele Viren, die dafür sorgen, dass das Betriebssytem sie die ganze Zeit im Arbeitsspeicher hält, von wo aus sie andere Programme infizieren können.

Tipps & Rat:


Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!
-> Daten sichern mit Hilfe von http://www.trojaner-board.de/75619-a...x-live-cd.html
*Was ist KNOPPIX*
Knoppix extrem schnell (das Live-System startet in rund 30 Sekunden) und ist überaus stabil, besonders User die mit Linux keine Erfahrung haben tun sich mit Knoppix um einiges leichter da es äußerst einfach zu bedienen ist, alle Einstellungen werden automatisch erkannt und vorgenommen - Knoppix läuft ohne Probleme mit aktueller Hardware - und hat alle notwendigen Programme zur Datenrettung installiert, weiters ist es nicht so spartanisch aufgebaut wie etwa andere Rettungssysteme - so eignet sich Knoppix ohne weiteres um Linux und viel Linux-Software kennen zu lernen ohne Installation auf Festplatte. Ebenso bringt Knoppix viele Treiber standardmäßig mit.

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
Zitat:
Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.


-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7


Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

gruß
kira
__________________

__________________

Alt 01.08.2012, 09:20   #3
drumforfun
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Hallo Kira!
Danke für die Antwort, schade, dass ich nicht ums Neuaufsetzen herum komme!
Habe trotzdem noch ein paar kurze Fragen.

Ich war am infizierten PC mit einem USB-Stick um die Logfiles zu kopieren (im abgesicherten Modus), und anschließend an einem sauberen PC - kann das nochmal zu Problemen führen? Sollte ich jetzt besser garnichts mehr mit Windows an dem PC machen sondern am besten direkt über Knoppix die Datensicherung durchführen?

Danke!
__________________

Alt 02.08.2012, 08:01   #4
kira
/// Helfer-Team
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Zitat:
Zitat von drumforfun Beitrag anzeigen
Ich war am infizierten PC mit einem USB-Stick um die Logfiles zu kopieren (im abgesicherten Modus), und anschließend an einem sauberen PC - kann das nochmal zu Problemen führen?
glaube nicht, nein, aber einen Online-Prüfung für den PC kann nicht schaden:
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.
Tipps:-> Kostenlose Online Scanner - Anleitung)
Absolut empfehlenswerter Scanner - Kostenlose Online Scanner - Anleitung:
Zitat:
Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check
Zitat:
Zitat von drumforfun Beitrag anzeigen
Sollte ich jetzt besser garnichts mehr mit Windows an dem PC machen sondern am besten direkt über Knoppix die Datensicherung durchführen?
Ja, bitte nicht mehr ins Internet oder sonstwas mit dem PC!

sei nicht traurig, weil Du dein PC neu aufsetzen mußt, denn davon kannst du nur profitieren:
- wird die Festplatte 100%ig frei von Viren oder sonstiger Malware
- Surfen im Web ohne ständig dieses mulmige Gefühl im Bauch zu spüren, das dein Computer jemand "ausspioniert"
- Ausmisten kann nicht schaden
- Du kannst danach gleich von einem sauberen Windows, ohne Viren ein Image erstellen.

alles Gute nochmal!
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 12.08.2012, 21:06   #5
drumforfun
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Hallo Kira,

habe nun endlich den PC neu aufgesetzt. Anschließend habe ich (dummerweise) mit Acronis True Image ein komplettes Image von der Woche vor dem LiveSecurity Befall aufgespielt - Hatte aber wohl auf diesem Image bereits einen Schädling, von dem ich vor der LiveSecurity Geschichte nichts mitbekommen habe.

Konnte dann Antivir nicht mehr richtig bedienen (im normalen Windows Modus), und habe deshalb im abgesicherten Modus Antivir einmal durchlaufen lassen, Malwarebytes läuft ebenfalls gerade (Logs poste ich später).

Da Antivir jedoch schon was gefunden hat, hier mal der Log.
Wahrscheinlich lag der Fehler dadran, die mit Acronis gesicherten Daten jetzt aufzuspielen, da diese schon infiziert waren. Ich werde wohl nochmal das System ohne Acronis neu aufspielen müssen.

Hier das Log von heute Abend:

Code:
ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 12. August 2012  20:55

Es wird nach 4096284 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Abgesicherter Modus mit Netzwerk Support
Benutzername   : ***
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38
LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31
AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24
AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37
VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 18:23:19
VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 18:23:21
VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 18:23:21
VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 18:23:22
VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 18:23:22
VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 18:23:23
VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 18:23:23
VBASE021.VDF   : 7.11.39.146     2048 Bytes  11.08.2012 18:23:24
VBASE022.VDF   : 7.11.39.147     2048 Bytes  11.08.2012 18:23:24
VBASE023.VDF   : 7.11.39.148     2048 Bytes  11.08.2012 18:23:24
VBASE024.VDF   : 7.11.39.149     2048 Bytes  11.08.2012 18:23:24
VBASE025.VDF   : 7.11.39.150     2048 Bytes  11.08.2012 18:23:24
VBASE026.VDF   : 7.11.39.151     2048 Bytes  11.08.2012 18:23:24
VBASE027.VDF   : 7.11.39.152     2048 Bytes  11.08.2012 18:23:24
VBASE028.VDF   : 7.11.39.153     2048 Bytes  11.08.2012 18:23:24
VBASE029.VDF   : 7.11.39.154     2048 Bytes  11.08.2012 18:23:24
VBASE030.VDF   : 7.11.39.155     2048 Bytes  11.08.2012 18:23:24
VBASE031.VDF   : 7.11.39.170    45568 Bytes  12.08.2012 18:23:24
Engineversion  : 8.2.10.132
AEVDF.DLL      : 8.1.2.10      102772 Bytes  12.08.2012 18:23:36
AESCRIPT.DLL   : 8.1.4.42      459129 Bytes  12.08.2012 18:23:36
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.24      811381 Bytes  12.08.2012 18:23:35
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  12.08.2012 18:23:33
AEHEUR.DLL     : 8.1.4.86     5165429 Bytes  12.08.2012 18:23:33
AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17
AEGEN.DLL      : 8.1.5.34      434548 Bytes  12.08.2012 18:23:27
AEEXP.DLL      : 8.1.0.74       86387 Bytes  12.08.2012 18:23:37
AEEMU.DLL      : 8.1.3.2       393587 Bytes  12.08.2012 18:23:26
AECORE.DLL     : 8.1.27.4      201078 Bytes  12.08.2012 18:23:25
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25
AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23
AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23
AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24
NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 12. August 2012  20:55

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '90' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files\gs\gs9.02\uninstgs.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3838' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\gs\gs9.02\uninstgs.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Program Files\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\53fe51a9-30fc9e02
  [0] Archivtyp: ZIP
  --> apps/MyApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
  --> apps/MyLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
  --> apps/MyWorker.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\6eaba073-44a2a938
  [0] Archivtyp: ZIP
  --> apps/MyApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
  --> apps/MyLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
  --> apps/MyWorker.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\6fccc9ba-3c5e1e5f
  [0] Archivtyp: ZIP
  --> apps/MyApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
  --> apps/MyLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
  --> apps/MyWorker.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\Users\***\Downloads\avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\' <Volume>

D:\EIGENE DATEIEN\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp\{BECB4328-2A51-44DD-98D2-63BBAB69DDB2}
  [WARNUNG]   Die Datei konnte nicht gelesen werden!

Beginne mit der Desinfektion:
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\6fccc9ba-3c5e1e5f
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5554a5c4.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\6eaba073-44a2a938
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc18a62.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\53fe51a9-30fc9e02
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f99d0b8.qua' verschoben!


Ende des Suchlaufs: Sonntag, 12. August 2012  21:32
Benötigte Zeit: 33:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  27220 Verzeichnisse wurden überprüft
 1237730 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1237721 Dateien ohne Befall
   5672 Archive wurden durchsucht
      7 Warnungen
      3 Hinweise
         
Hoffe du kannst mir nochmals helfen, Danke!


Alt 14.08.2012, 05:49   #6
kira
/// Helfer-Team
 
-Live Security Platinum- Logfiles anbei! - Standard

-Live Security Platinum- Logfiles anbei!



Zitat:
Zitat von drumforfun Beitrag anzeigen
habe nun endlich den PC neu aufgesetzt. Anschließend habe ich (dummerweise) mit Acronis True Image ein komplettes Image von der Woche vor dem LiveSecurity Befall aufgespielt - Hatte aber wohl auf diesem Image bereits einen Schädling, von dem ich vor der LiveSecurity Geschichte nichts mitbekommen habe.

....Wahrscheinlich lag der Fehler dadran, die mit Acronis gesicherten Daten jetzt aufzuspielen, da diese schon infiziert waren. I
tja...
Alte Daten können auch infiziert sein! - Punkt 12. hier bitte klicken und lesen:-> 12. Gesicherte Daten wieder einspielen

Tipps:
Acronis*True*Image*Home - Image/Backups nicht "planmäßig" anfertigen lassen!
Empfehle ich Dir eine Image zu erstellen lassen, nur wenn Du dir sicher bist, dass dein System sauber ist!
Prüfe dein Pc vorher !
1. Update Deinen Virenscanner und lass einen vollen Scan laufen
2. Mindestens 3 Onlinescanner ► Nicht gleichzeitig scannen! Starte deinen Rechner nach jedem Scan neu auf. - Kostenlose Online Scanner - Anleitung
3. Systemreinigung mit CCleaner
-> Anleitung 1.
-> Anleitung 2.
__________________
--> -Live Security Platinum- Logfiles anbei!

Antwort

Themen zu -Live Security Platinum- Logfiles anbei!
administrator, adobe flash player, antivir, avira, bho, desktop, downloader, error, explorer, fehler, firefox, flash player, format, google, home, install.exe, langs, logfile, notebook, object, programm, programme, realtek, registry, rundll, security, software, starmoney



Ähnliche Themen: -Live Security Platinum- Logfiles anbei!


  1. troj zero acces in: Live Security Platinum und Microsoft\Security Center|
    Log-Analyse und Auswertung - 10.12.2012 (7)
  2. Live Security Platinum
    Log-Analyse und Auswertung - 24.09.2012 (16)
  3. live security platinum
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (5)
  4. Live Security Platinum
    Log-Analyse und Auswertung - 12.09.2012 (2)
  5. Live Platinum Security - Was tun ? Logfiles vorhanden
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  6. Live Security Platinum
    Diskussionsforum - 27.08.2012 (4)
  7. Live Security Platinum
    Log-Analyse und Auswertung - 14.08.2012 (12)
  8. live security platinum
    Plagegeister aller Art und deren Bekämpfung - 11.08.2012 (23)
  9. Live Security Platinum
    Log-Analyse und Auswertung - 04.08.2012 (5)
  10. Live Security Platinum
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (1)
  11. "Live Security Platinum" vollständig entfernt? Logs anbei.
    Log-Analyse und Auswertung - 03.08.2012 (33)
  12. Live Security Platinum
    Log-Analyse und Auswertung - 01.08.2012 (1)
  13. Live Security Platinum auf dem Laptop mit Logfiles - ist nun nach Malwarebytes alles gut?
    Mülltonne - 20.07.2012 (0)
  14. Logfiles von Live Security Platinum Trojaner mit Rootkit.0Access Befall
    Log-Analyse und Auswertung - 17.07.2012 (5)
  15. Live Security Platinum Logfiles überprüfen
    Log-Analyse und Auswertung - 13.07.2012 (3)
  16. Live Security Platinum
    Alles rund um Windows - 10.07.2012 (1)
  17. Live Security Platinum
    Log-Analyse und Auswertung - 28.06.2012 (3)

Zum Thema -Live Security Platinum- Logfiles anbei! - Hallo miteinander, habe mir am Wochenende leider das hier schon öfters gemeldeten Live Security Platinum "Programm" eingefangen. Antivir meldete noch irgendwas vonwegen "Tr/atraps.gen2", dann war es aber auch schon zu - -Live Security Platinum- Logfiles anbei!...
Archiv
Du betrachtest: -Live Security Platinum- Logfiles anbei! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.