Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
File Recovery entfernen

File Recovery entfernen


Log-Analyse und Auswertung: File Recovery entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 30.08.2012, 15:42   #1
Mel.x
 
File Recovery entfernen - Standard

File Recovery entfernen


Hallo,
ich habe auf meinem PC den Trojaner, der mir das Programm "File Recovery" auf aufdrängt.

Ich habe bereits versucht anhand dieser Anleitung
http://www.trojaner-board.de/122521-...entfernen.html
das Problem zu beheben.
Leider ohne Erfolg.

Im Einzelnen habe ich folgende Schritte unternommen:
(alles im abgesicherten Modus)
1. Tool rkill.com ausgeführt
2. vollständiger Scan mit Malwarebytes. Hier wurden mir 7 infizierte Dateien angezeigt, die ich mit dem Tool entfernt habe.
3. weiterer vollständiger Scan mit Emsisoft Anti-Malware. Eine weitere infizierte Datei wurde angezeigt und habe ich nach Anleitung entfernt
4. Bereinigung mit dem Tool TDSS Rootkit
5. Versteckte Dateien mit unhide.exe wieder anzeigen

Nach einem Neustart war jedoch alles wieder beim Alten.

Hier der Inhalt der OLT.txt
Code:
ATTFilter
OTL logfile created on: 30.08.2012 15:08:26 - Run 2
OTL by OldTimer - Version 3.2.59.1     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 553,71 Mb Available Physical Memory | 54,11% Memory free
2,41 Gb Paging File | 1,59 Gb Available in Paging File | 66,15% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 46,16 Gb Free Space | 78,77% Space Free | Partition Type: NTFS
Drive D: | 90,45 Gb Total Space | 90,33 Gb Free Space | 99,86% Space Free | Partition Type: NTFS
Drive F: | 3,88 Gb Total Space | 3,71 Gb Free Space | 95,59% Space Free | Partition Type: FAT32
 
Computer Name: PC*** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe ()
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bsmJARsTknRRoj.exe ()
PRC - C:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\avpmapp.exe (MicroWorld Technologies Inc.)
PRC - C:\Programme\eScan\Vista\escanmon.exe (MicroWorld Technologies Inc.)
PRC - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
PRC - C:\Programme\eScan\traysser.exe (MicroWorld Technologies Inc.)
PRC - c:\Programme\eScan\econser.exe (MicroWorld Technologies Inc.)
PRC - c:\Programme\eScan\econceal.exe (MicroWorld Technologies Inc.)
PRC - C:\Programme\eScan\TRAYICOS.EXE (MicroWorld Technologies Inc.)
PRC - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (MicroWorld Technologies Inc.)
PRC - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE (MicroWorld Technologies Inc.)
PRC - C:\Programme\eScan\escanpro.exe (MicroWorld Technologies Inc.)
PRC - C:\Programme\eScan\CONSCTL.EXE (MicroWorld Technologies Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe ()
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe ()
MOD - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bsmJARsTknRRoj.exe ()
MOD - \\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\avxdisk.dll ()
MOD - C:\WINDOWS\system32\msjetoledb40.dll ()
MOD - C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe ()
MOD - C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe ()
MOD - C:\Programme\Filzip\fzshext.dll ()
MOD - C:\WINDOWS\system32\HPBHealr.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (a2AntiMalware) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
SRV - (eScan Monitor Service) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\avpmapp.exe (MicroWorld Technologies Inc.)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (eScan-trayicos) -- C:\Programme\eScan\traysser.exe (MicroWorld Technologies Inc.)
SRV - (EconService) -- c:\Programme\eScan\econser.exe (MicroWorld Technologies Inc.)
SRV - (MWAgent) -- C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (MicroWorld Technologies Inc.)
SRV - (InCDsrv) -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (a2acc) -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys (Emsisoft GmbH)
DRV - (ProcObsrv) -- c:\Programme\eScan\ProcObsrv.sys (MicroWorld Technologies Inc.)
DRV - (econcealMP) -- C:\WINDOWS\system32\drivers\econceal.sys (MicroWorld Technologies Inc.)
DRV - (econceal) -- C:\WINDOWS\system32\drivers\econceal.sys (MicroWorld Technologies Inc.)
DRV - (ProcObsrves) -- C:\Programme\eScan\PROCOBSRVES.SYS (MicroWorld Technologies Inc.)
DRV - (A2DDA) -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys (Emsi Software GmbH)
DRV - (bdfsfltr) -- C:\WINDOWS\system32\drivers\bdfsfltr.sys (BitDefender)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDRm.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDPass.sys (Nero AG)
DRV - (InCDrec) -- C:\WINDOWS\System32\drivers\InCDrec.sys (Nero AG)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1454471165-413027322-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
IE - HKU\S-1-5-21-1454471165-413027322-725345543-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1454471165-413027322-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1454471165-413027322-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.***.de"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.14 12:54:13 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.03.12 11:16:04 | 000,000,000 | -H-D | M]
 
[2010.07.29 08:40:49 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2012.05.04 08:09:51 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wyznd0dn.default\extensions
[2010.07.29 08:40:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.05.14 12:54:13 | 000,097,208 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.03.12 11:15:59 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.12 11:15:59 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.12 11:15:59 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.12 11:15:59 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.12 11:15:59 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.12 11:15:59 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [bsmJARsTknRRoj.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bsmJARsTknRRoj.exe ()
O4 - HKLM..\Run: [eScan Updater] C:\Programme\eScan\TRAYICOS.EXE (MicroWorld Technologies Inc.)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [MailScan Dispatcher] C:\Programme\eScan\launch.exe (MicroWorld Technologies Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKLM..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe ()
O4 - HKU\S-1-5-21-1454471165-413027322-725345543-1003..\Run: [oLEZI3g1e32B9J] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1454471165-413027322-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O9 - Extra Button: Virtuelle Tastatur - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\Programme\eScan\VKBoard.EXE (MicroWorld Technologies Inc.)
O9 - Extra 'Tools' menuitem : Virtuelle Tastatur - {54848076-14D0-45E7-851E-CAF7EF0125F1} - C:\Programme\eScan\VKBoard.EXE (MicroWorld Technologies Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219924531718 (WUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\eSLogOn: DllName - (eSLogOn.dll) - C:\WINDOWS\System32\eslogon.dll (MicroWorld Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.12.13 17:11:39 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{49aa1b70-7ecb-11df-ac9a-0019664e6c39}\Shell - "" = AutoRun
O33 - MountPoints2\{49aa1b70-7ecb-11df-ac9a-0019664e6c39}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{49aa1b70-7ecb-11df-ac9a-0019664e6c39}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.30 15:05:36 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2012.08.30 14:38:47 | 000,598,528 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2012.08.30 14:34:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\rundll16.exe
[2012.08.30 14:34:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\RUNDL132.EXE
[2012.08.30 14:34:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\regsvr.exe
[2012.08.30 14:31:09 | 000,399,264 | -H-- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\***\Desktop\unhide.exe
[2012.08.30 14:30:52 | 000,000,000 | -H-D | C] -- C:\TDSSKiller_Quarantine
[2012.08.30 14:30:02 | 002,211,928 | -H-- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\***\Desktop\tdsskiller.exe
[2012.08.30 13:43:22 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware
[2012.08.30 13:42:59 | 000,000,000 | -H-D | C] -- C:\Programme\Emsisoft Anti-Malware
[2012.08.30 13:42:59 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anti-Malware
[2012.08.30 13:42:42 | 168,089,248 | -H-- | C] (Emsisoft GmbH                                               ) -- C:\Dokumente und Einstellungen\***\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.08.30 12:19:01 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2012.08.30 12:18:53 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.08.30 12:18:53 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.08.30 12:18:52 | 000,022,344 | -H-- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.08.30 12:18:52 | 000,000,000 | -H-D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.08.30 12:18:28 | 010,652,120 | -H-- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.30 12:16:59 | 001,614,752 | -H-- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\***\Desktop\rkill.com
[2012.08.30 10:08:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\pss
[2012.08.29 12:19:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\File Recovery
[2012.08.29 12:13:55 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Videos
[2012.08.27 13:30:14 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\b*** K***
[2012.08.15 09:29:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\temp
[2012.08.15 09:29:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\***Viewer
[2012.08.13 10:17:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\wmicuclt.exe
[2012.08.13 10:17:43 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\wmicuclt
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.30 15:07:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\defogger_reenable
[2012.08.30 15:06:22 | 000,000,041 | -H-- | M] () -- C:\WINDOWS\Filzip.ini
[2012.08.30 14:48:54 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2012.08.30 14:36:46 | 000,000,856 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\File_Recovery.lnk
[2012.08.30 14:36:39 | 000,002,206 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.08.30 14:35:23 | 000,000,368 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J
[2012.08.30 14:34:25 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.08.30 13:43:22 | 000,000,747 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.08.30 12:10:00 | 168,089,248 | -H-- | M] (Emsisoft GmbH                                               ) -- C:\Dokumente und Einstellungen\***\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.08.30 11:50:18 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2012.08.30 11:48:48 | 000,399,264 | -H-- | M] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\***\Desktop\unhide.exe
[2012.08.30 11:48:20 | 002,211,928 | -H-- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\***\Desktop\tdsskiller.exe
[2012.08.30 11:35:52 | 010,652,120 | -H-- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.30 11:30:42 | 001,614,752 | -H-- | M] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\***\Desktop\rkill.com
[2012.08.30 11:02:38 | 000,000,184 | -H-- | M] () -- C:\WINDOWS\hpbafd.ini
[2012.08.29 12:47:51 | 000,000,152 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-oLEZI3g1e32B9Jr
[2012.08.29 12:47:51 | 000,000,152 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-oLEZI3g1e32B9J
[2012.08.29 12:19:09 | 000,368,640 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe
[2012.08.29 11:58:29 | 000,466,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bsmJARsTknRRoj.exe
[2012.08.29 09:00:00 | 000,000,394 | -H-- | M] () -- C:\WINDOWS\tasks\B***, K***, P***, 2012.job
[2012.08.27 13:33:11 | 000,000,408 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Gemeinsame Dokumente.lnk
[2012.08.27 13:05:05 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2007.lnk
[2012.08.16 07:46:09 | 000,138,056 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.08.15 13:34:30 | 000,001,374 | -H-- | M] () -- C:\WINDOWS\imsins.BAK
[2012.08.15 09:49:11 | 002,604,032 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\V*** u*** S***.msg
[2012.08.13 10:17:47 | 001,891,112 | -H-- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\contfilt.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.08.30 15:07:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\defogger_reenable
[2012.08.30 15:06:50 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2012.08.30 14:36:46 | 000,000,856 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\File_Recovery.lnk
[2012.08.30 13:43:22 | 000,000,747 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.08.29 12:19:18 | 000,000,152 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-oLEZI3g1e32B9Jr
[2012.08.29 12:19:18 | 000,000,152 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-oLEZI3g1e32B9J
[2012.08.29 12:19:11 | 000,000,368 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J
[2012.08.29 12:19:08 | 000,368,640 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe
[2012.08.29 12:00:43 | 000,466,432 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bsmJARsTknRRoj.exe
[2012.08.15 09:49:11 | 002,604,032 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\V*** u*** S***.msg
[2012.03.12 11:20:55 | 000,408,072 | -H-- | C] () -- C:\WINDOWS\System32\wget.exe
[2012.03.12 11:20:55 | 000,293,896 | -H-- | C] () -- C:\WINDOWS\System32\curl.exe
[2012.03.12 11:20:55 | 000,172,040 | -H-- | C] () -- C:\WINDOWS\System32\unrar.dll
[2012.02.15 08:12:42 | 000,003,072 | -H-- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.10.13 13:58:58 | 000,000,127 | -H-- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011.09.08 07:45:49 | 000,000,041 | -H-- | C] () -- C:\WINDOWS\System32\Filzip.ini
[2010.11.10 13:31:12 | 000,000,035 | -H-- | C] () -- C:\WINDOWS\RidocPrn.ini
[2010.10.19 17:14:50 | 000,002,935 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.05.12 08:52:46 | 000,011,264 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.05.07 13:40:32 | 000,021,302 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\G*** S*** M***.odt
 
========== LOP Check ==========
 
[2012.03.12 11:23:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2007.12.14 12:12:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CoSoSys
[2012.08.30 14:34:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox
[2010.10.19 17:14:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2012.03.12 11:22:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MicroWorld
[2012.01.06 08:36:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NewSoft
[2012.08.15 09:29:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\***Viewer
[2011.10.31 09:45:49 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Windows Desktop Search
[2012.01.03 16:19:20 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Windows Search
[2012.04.24 13:47:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NewSoft
[2012.04.03 10:44:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Windows Desktop Search
[2012.04.25 18:03:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Windows Search
[2012.06.11 14:34:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NewSoft
[2012.05.14 13:09:52 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Windows Desktop Search
[2012.08.29 09:00:00 | 000,000,394 | -H-- | M] () -- C:\WINDOWS\Tasks\B***, K***, P***, 2012.job
 
========== Purity Check ==========
 
 

< End of report >
Inhalt der Extras.txt
Code:
ATTFilter
OTL Extras logfile created on: 30.08.2012 15:08:26 - Run 2
OTL by OldTimer - Version 3.2.59.1     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 553,71 Mb Available Physical Memory | 54,11% Memory free
2,41 Gb Paging File | 1,59 Gb Available in Paging File | 66,15% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 46,16 Gb Free Space | 78,77% Space Free | Partition Type: NTFS
Drive D: | 90,45 Gb Total Space | 90,33 Gb Free Space | 99,86% Space Free | Partition Type: NTFS
Drive F: | 3,88 Gb Total Space | 3,71 Gb Free Space | 95,59% Space Free | Partition Type: FAT32
 
Computer Name: PC*** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\PROGRA~1\eScan\DOWNLOAD.EXE" = C:\PROGRA~1\eScan\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\TRAYICOS.EXE" = C:\PROGRA~1\eScan\TRAYICOS.EXE:*:Enabled:eScan Server Updater -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\LICENSE.EXE" = C:\PROGRA~1\eScan\LICENSE.EXE:*:Enabled:eScan Registration Service -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\MAILADM.EXE" = C:\PROGRA~1\eScan\MAILADM.EXE:*:Enabled:eScan Administration Service
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Zattoo\zattood.exe" = C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood -- ()
"C:\Programme\Zattoo\Zattoo1.exe" = C:\Programme\Zattoo\Zattoo1.exe:*:Enabled:  -- ()
"C:\Programme\RDS\PLTBar.exe" = C:\Programme\RDS\PLTBar.exe:*:Enabled:Ridoc Document System Ridoc Desk ToolLauncher Module -- (RICOH Company Ltd.)
"C:\PROGRA~1\eScan\DOWNLOAD.EXE" = C:\PROGRA~1\eScan\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\TRAYICOS.EXE" = C:\PROGRA~1\eScan\TRAYICOS.EXE:*:Enabled:eScan Server Updater -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE" = C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\LICENSE.EXE" = C:\PROGRA~1\eScan\LICENSE.EXE:*:Enabled:eScan Registration Service -- (MicroWorld Technologies Inc.)
"C:\PROGRA~1\eScan\MAILADM.EXE" = C:\PROGRA~1\eScan\MAILADM.EXE:*:Enabled:eScan Administration Service
"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F9C1317-9BE3-4DE6-BA9A-676C47FEC642}" = GX 3050SFN Anwenderanleitung
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{9B4E6CB9-E54D-47F7-A414-E2D5740E1031}" = Nero 7 Essentials
"{A2F7F2B2-39BB-45AD-A829-A5F713EB4ADE}" = Presto! PageManager 7.19
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{BC30E5E7-047D-4232-A7E8-F2CB7CC7B2E0}_is1" = Emsisoft Anti-Malware
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{DD30D7C5-DD1A-46E7-9CA6-03CF6A398990}" = DeskTopBinder Lite
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"eScan Internet Security für Windows_is1" = eScan Internet Security für Windows
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Filzip 3.0.1.44_is1" = Filzip 3.01
"HP LaserJet 2200 Uninstaller" = HP LaserJet 2200 Deinstallationsprogramm
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"STANDARD" = Microsoft Office Standard 2007
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"Zattoo" = Zattoo 3.2.4 Beta
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1454471165-413027322-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 20.08.2012 09:00:22 | Computer Name = PC*** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.
 
Error - 20.08.2012 09:00:30 | Computer Name = PC*** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 20.08.2012 09:10:33 | Computer Name = PC*** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.
 
Error - 20.08.2012 09:11:05 | Computer Name = PC*** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 23.08.2012 07:58:51 | Computer Name = PC*** | Source = ESENT | ID = 623
Description = wuaueng.dll (1600) SUS20ClientDataStore: Der Versionsspeicher für 
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert 
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
 ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
 ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.    Mögliche lange
 andauernde Transaktion:     Sitzungs-ID: 0x02690320     Sitzungskontext: 0x00000000     Thread-ID
 des Sitzungskontextes: 0x00000648
 
Error - 29.08.2012 07:23:04 | Computer Name = PC*** | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\***\RECENT\DESKTOP.INI>
 in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:  Anwendung, SystemIndex
 Katalog  Details:  Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

 
Error - 30.08.2012 03:35:21 | Computer Name = PC*** | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\***\RECENT\DESKTOP.INI>
 in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:  Anwendung, SystemIndex
 Katalog  Details:  Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

 
Error - 30.08.2012 09:02:20 | Computer Name = PC*** | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\***\RECENT\DESKTOP.INI>
 in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:  Anwendung, SystemIndex
 Katalog  Details:  Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

 
Error - 30.08.2012 09:02:23 | Computer Name = PC*** | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\***\RECENT\DESKTOP.INI>
 in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:  Anwendung, SystemIndex
 Katalog  Details:  Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

 
Error - 30.08.2012 09:03:47 | Computer Name = PC*** | Source = Windows Search Service | ID = 3013
Description = Eintrag <C:\DOKUMENTE UND EINSTELLUNGEN\***\RECENT\DESKTOP.INI>
 in der Hash-Zuordnung kann nicht aktualisiert werden.  Kontext:  Anwendung, SystemIndex
 Katalog  Details:  Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

 
[ OSession Events ]
Error - 13.03.2008 14:40:53 | Computer Name = PC*** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 101
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 30.11.2009 14:05:56 | Computer Name = PC*** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 91
 seconds with 60 seconds of active time.  This session ended with a crash.
 
Error - 08.06.2012 08:04:03 | Computer Name = PC*** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 2395
 seconds with 1980 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 30.08.2012 08:29:22 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:12 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:12 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:14 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:14 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:17 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:31:17 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 30.08.2012 08:33:36 | Computer Name = PC*** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 30.08.2012 08:34:46 | Computer Name = PC*** | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "42974986.sys" auf Volume "HarddiskVolume1"
 ist im Wiederherstellungsfilter der unerwartete Fehler "0xC0000243" aufgetreten.
 Die Volumeüberwachung wurde angehalten.
 
Error - 30.08.2012 08:36:35 | Computer Name = PC*** | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Emsisoft Anti-Malware 6.6 - Service" wurde nicht ordnungsgemäß
 gestartet.
 
 
< End of report >
Inhalt der Gmer.txt
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-30 16:15:02
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_HD161HJ rev.JF100-19
Running: pu4huwlb.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\afecapod.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.)                ZwCreateSection [0xB8F89E0E]
SSDT            \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.)                ZwDuplicateObject [0xB8F8ACF8]
SSDT            \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.)                ZwOpenProcess [0xB8F8A7A2]
SSDT            \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.)                ZwOpenThread [0xB8F8AAF4]
SSDT            \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.)                ZwTerminateProcess [0xB8F89F4E]

---- Kernel code sections - GMER 1.0.15 ----

?               42974986.sys                                                                                    Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                        section is writeable [0xF6661380, 0x2FF527, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe[1856] explorer.exe  020E1986 2 Bytes  [03, 01] {ADD EAX, [ECX]}
.text           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe[1856] explorer.exe  020E198A 2 Bytes  [00, 01] {ADD [ECX], AL}
.text           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe[1856] explorer.exe  020E198E 2 Bytes  [01, 01] {ADD [ECX], EAX}
.text           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe[1856] explorer.exe  020E1992 2 Bytes  [00, 01] {ADD [ECX], AL}
.text           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oLEZI3g1e32B9J.exe[1856] explorer.exe  020E1996 2 Bytes  [00, 01] {ADD [ECX], AL}
.text           ...                                                                                             
.text           C:\WINDOWS\system32\SearchIndexer.exe[2628] kernel32.dll!WriteFile                              7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device                                                                                                          Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                          Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)
Device                                                                                                          InCDFs.sys (InCD File System Driver/Nero AG)
Device          \FileSystem\01839974 \Device\KLMD13082012_208040_B                                              42974986.sys
Device                                                                                                          mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

AttachedDevice                                                                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          *                                                                                               Fs_Rec.SYS (File System Recognizer Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Ich hoffe, jemand kann mir bei meinem Problem behilflich sein.

Liebe Grüße
Mel.x

 

Themen zu File Recovery entfernen
bho, desktop.ini, document, downloader, einstellungen, emsisoft, entfernen, error, excel, file recovery, firefox, flash player, format, infizierte dateien, kaspersky, logfile, object, problem, programm, realtek, registry, rundll, scan, security, software, tastatur, tcp, trojaner, udp, vista, windows internet, write fault error


« Trojan.Ransom.FGen | Mozilla wird immer langsamer (hohe Auslastung) »


Ähnliche Themen: File Recovery entfernen


  1. File Restore / File Recovery - bin ich wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  2. File Recovery
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (38)
  3. File Recovery Virus
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (19)
  4. File recovery in der Taskleiste + System error message
    Plagegeister aller Art und deren Bekämpfung - 11.09.2012 (22)
  5. File Recovery Virus eingefangen
    Log-Analyse und Auswertung - 11.09.2012 (1)
  6. File Recovery entfernen
    Anleitungen, FAQs & Links - 11.07.2012 (2)
  7. windows recovery virus entfernen
    Plagegeister aller Art und deren Bekämpfung - 13.05.2012 (3)
  8. Windows Recovery Series entfernen
    Anleitungen, FAQs & Links - 29.04.2012 (2)
  9. Data Recovery lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (3)
  10. Data Recovery entfernen
    Anleitungen, FAQs & Links - 10.09.2011 (2)
  11. System Recovery entfernen
    Anleitungen, FAQs & Links - 10.09.2011 (2)
  12. Windows XP Recovery entfernen
    Anleitungen, FAQs & Links - 14.05.2011 (2)
  13. Windows Vista Recovery entfernen
    Anleitungen, FAQs & Links - 14.05.2011 (2)
  14. Windows 7 Recovery entfernen
    Anleitungen, FAQs & Links - 14.05.2011 (2)
  15. Windows Recovery entfernen und pc wiederherstellen
    Log-Analyse und Auswertung - 09.05.2011 (43)
  16. Windows-Recovery - Auswertung Malwarebytes' log-file
    Log-Analyse und Auswertung - 28.04.2011 (26)
  17. Windows Recovery entfernen
    Anleitungen, FAQs & Links - 22.03.2011 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema File Recovery entfernen - Hallo, ich habe auf meinem PC den Trojaner, der mir das Programm "File Recovery" auf aufdrängt. Ich habe bereits versucht anhand dieser Anleitung http://www.trojaner-board.de/122521-...entfernen.html das Problem zu beheben. Leider ohne - File Recovery entfernen...
Archiv
Du betrachtest: File Recovery entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24