| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wie entferne ich Win32/PonmocupWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.11.2012, 13:34
| #1 |
 |  Wie entferne ich Win32/Ponmocup Hallo, wer kann mir helfen? Ich habe mir folgenden Trojaner eingefangen. Es findet eine redirect bei der Suche (alle Suchmaschinen) nur bei Firefox statt. Malewarebytes, Spybot und HijackThis sowie die Virenscanner Vipre, Trend,... haben nichts gefunden. ABER: Hier die Auswertung von ESET: C:\Users\tine\AppData\Roaming\PSHEDV.dll a variant of Win32/Ponmocup.FJ trojan Operating memory probably a variant of Win32/Ponmocup.AA trojan OLT Extras PHP-Code: PHP-Code: Danke PDW |
|
29.11.2012, 15:59
| #2 |
| /// Malware-holic   | Wie entferne ich Win32/Ponmocup hi
__________________dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O4*-*HKU\S-1-5-21-3568278715-1815380235-1142484941-1000..\Run:*[Btwqey]*C:\Users\tine\AppData\Roaming\PSHEDV.dll*()
:Files
C:\Users\tine\AppData\Roaming\PSHEDV.dll
:Commands
[EMPTYFLASH]
[emptytemp]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
 downloade get info: http://markusg.trojaner-board.de/GetInfo.exe doppelklicke die .exe im selben ordner wird nun eine .txt erstellt: summary-info.txt diese doppelklicken und deren inhalt posten. Frage: hast du zum infektionszeitpunkt, bzw evtl. einen tag davor, etwas runtergeladen und instaliert bzw ausgeführt? wurdest du beim besuch einer seite aufgefordert etwas zu instalieren bzw runterzuladen? diese infos hätte ich auch gern als private nachicht.
__________________ |
|
29.11.2012, 21:12
| #3 |
| | Wie entferne ich Win32/Ponmocup Hallo Markus,
__________________so habe alles ausgeführt... File-upload hat funktioniert. Anbei der Inhalt der GetInfo: PHP-Code: Nach dem Start blieb der Bildschirm schwarz. Ich konnte nur den cursor sehen. Es ging keine Maustaste, etc. Habe dann mit ctrl+alt+...den TaskManager gestartet und den explorer (anwendund starten) gestartet. Danke Ciao PDW |
|
29.11.2012, 21:18
| #4 |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup Hi danke. Teste mal, ob bei einem weiteren Neustart alles funktioniert.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
29.11.2012, 21:25
| #5 |
| | Wie entferne ich Win32/Ponmocup Hi, ja funktioniert wieder. Habe 3 mal gebootet....einzig der VIPRE startet nicht mehr automatisch. Ist der Trojaner denn soweit entfernt? Oder muss ich noch etwas machen. btw. ich habe gestern 5 Stunden das SCH....Ding gesucht und kein Tool konnte Ihn finden. OLT hat zwar auch ~4 Stunden benötigt, aber immerhin gefunden ;-) ciao pdw |
|
29.11.2012, 22:58
| #6 |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup hmm, per pm schreibst du, es funktioniert nicht, was stimmt nun? Poste mal ein neues OTL log
__________________ --> Wie entferne ich Win32/Ponmocup |
|
29.11.2012, 23:11
| #7 |
| | Wie entferne ich Win32/Ponmocup Hi, leider ist der firefox redirect immer noch da... anbei die OLD.txt OTL Logfile: Code:
ATTFilter OTL logfile created on: 29.11.2012 23:04:03 - Run 3 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\tine\Desktop\PDW 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 7,96 Gb Total Physical Memory | 6,07 Gb Available Physical Memory | 76,24% Memory free 15,93 Gb Paging File | 13,77 Gb Available in Paging File | 86,46% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 146,39 Gb Total Space | 71,44 Gb Free Space | 48,80% Space Free | Partition Type: NTFS Drive D: | 146,48 Gb Total Space | 135,43 Gb Free Space | 92,45% Space Free | Partition Type: NTFS Drive E: | 172,79 Gb Total Space | 10,02 Gb Free Space | 5,80% Space Free | Partition Type: NTFS Drive G: | 229,49 Gb Total Space | 223,71 Gb Free Space | 97,48% Space Free | Partition Type: NTFS Drive H: | 236,27 Gb Total Space | 147,23 Gb Free Space | 62,32% Space Free | Partition Type: NTFS Computer Name: TINE-PC | User Name: tine | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\tine\Desktop\PDW\OTL.exe (OldTimer Tools) PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe (Safer-Networking Ltd.) PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.) PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.) PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) PRC - C:\Program Files (x86)\GFI Software\VIPRE\SBAMTray.exe (GFI Software) PRC - C:\Program Files (x86)\GFI Software\VIPRE\SBAMSvc.exe (GFI Software) PRC - C:\Program Files (x86)\GFI Software\VIPRE\SBPIMSvc.exe (GFI Software) PRC - C:\Program Files (x86)\GFI Software\VIPRE\LanGuard 10 Agent\lnssatt.exe (GFI Software Development Ltd.) PRC - C:\Program Files (x86)\GFI Software\VIPRE\LanGuard 10 Agent\Mantle.exe (GFI Software Development Ltd.) PRC - C:\PROGRA~2\WinTV\TVServer\HAUPPA~1.EXE (Hauppauge Computer Works) PRC - C:\PROGRA~2\WinTV\TVServer\CAPTUR~3.EXE (Hauppauge Computer Works) PRC - C:\Program Files (x86)\WinTV\WinTV7\WinTVTray.exe (Hauppauge Computer Works, Inc.) PRC - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation) PRC - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation) PRC - C:\Program Files (x86)\Kodak\AiO\Center\ekdiscovery.exe (Eastman Kodak Company) ========== Modules (No Company Name) ========== MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\009c50fb69919b90fb233cb4c35d0ad7\System.Windows.Forms.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\ebefde27b0ef7f39bb49c493b34a602c\System.Drawing.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\5c85c9c42e1b8a8760de82ecb4c7d582\System.Xml.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\2ebb3c259eab50af565e3a8dba6ad20e\System.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\5858678a79aae31262b0214424245d06\mscorlib.ni.dll () MOD - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll () MOD - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll () MOD - C:\PROGRA~2\WinTV\TVServer\HauppaugeTVServerps.dll () ========== Services (SafeList) ========== SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD) SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (MBAMScheduler) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) SRV - (SBAMSvc) -- C:\Program Files (x86)\GFI Software\VIPRE\SBAMSvc.exe (GFI Software) SRV - (SBPIMSvc) -- C:\Program Files (x86)\GFI Software\VIPRE\SBPIMSvc.exe (GFI Software) SRV - (gfi_lanss10_attservice) -- C:\Program Files (x86)\GFI Software\VIPRE\LanGuard 10 Agent\lnssatt.exe (GFI Software Development Ltd.) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (FLEXnet Licensing Service 64) -- C:\Programme\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe (Acresso Software Inc.) SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (HauppaugeTVServer) -- C:\PROGRA~2\WinTV\TVServer\HAUPPA~1.EXE (Hauppauge Computer Works) SRV - (UNS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation) SRV - (LMS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation) SRV - (Kodak AiO Network Discovery Service) -- C:\Program Files (x86)\Kodak\AiO\Center\ekdiscovery.exe (Eastman Kodak Company) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) SRV - (HP LaserJet Service) -- C:\Program Files (x86)\HP\HPLaserJetService\HPLaserJetService.exe (HP) ========== Driver Services (SafeList) ========== DRV:64bit: - (gfiark) -- C:\Windows\SysNative\drivers\gfiark.sys (GFI Software) DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation) DRV:64bit: - (amdkmdap) -- C:\Windows\SysNative\drivers\atikmpag.sys (Advanced Micro Devices, Inc.) DRV:64bit: - (SbFw) -- C:\Windows\SysNative\drivers\SbFw.sys (GFI Software) DRV:64bit: - (sbwtis) -- C:\Windows\SysNative\drivers\sbwtis.sys (GFI Software) DRV:64bit: - (SbHips) -- C:\Windows\SysNative\drivers\sbhips.sys (GFI Software) DRV:64bit: - (sbapifs) -- C:\Windows\SysNative\drivers\sbapifs.sys (GFI Software) DRV:64bit: - (SBFWIMCL) -- C:\Windows\SysNative\drivers\SbFwIm.sys (GFI Software) DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.) DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation) DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek ) DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.) DRV:64bit: - (amdkmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.) DRV:64bit: - (IntcDAud) -- C:\Windows\SysNative\drivers\IntcDAud.sys (Intel(R) Corporation) DRV:64bit: - (AtiHdmiService) -- C:\Windows\SysNative\drivers\AtiHdmi.sys (ATI Technologies, Inc.) DRV:64bit: - (HECIx64) -- C:\Windows\SysNative\drivers\HECIx64.sys (Intel Corporation) DRV:64bit: - (hcw88vid) -- C:\Windows\SysNative\drivers\hcw88vid.sys (Hauppauge Computer Works, Inc) DRV:64bit: - (HCW88TSE) -- C:\Windows\SysNative\drivers\hcw88tse.sys (Hauppauge Computer Works, Inc) DRV:64bit: - (hcw88bda) -- C:\Windows\SysNative\drivers\hcw88bda.sys (Hauppauge Computer Works, Inc) DRV:64bit: - (hcw88rc5) -- C:\Windows\SysNative\drivers\hcw88rc5.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (HCW88XBAR) -- C:\Windows\SysNative\drivers\hcw88bar.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (HCW88AUD) -- C:\Windows\SysNative\drivers\hcw88aud.sys (Hauppauge Computer Works, Inc) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (StillCam) -- C:\Windows\SysNative\drivers\serscan.sys (Microsoft Corporation) DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.) DRV:64bit: - (adfs) -- C:\Windows\SysNative\drivers\adfs.sys (Adobe Systems, Inc.) DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation) DRV - (adfs) -- C:\Windows\SysWow64\drivers\adfs.sys (Adobe Systems, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 72 7C 9D DB 83 CD CD 01 [binary data] IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0 FF - user.js - File not found FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.11.28 20:26:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.09.11 09:25:28 | 000,000,000 | ---D | M] [2012.11.28 20:26:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\tine\AppData\Roaming\mozilla\Extensions [2012.11.28 20:26:24 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2010.05.25 11:24:57 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files (x86)\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2012.11.20 07:17:00 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2012.11.20 08:13:26 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.11.20 08:13:26 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2012.11.20 08:13:26 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2012.11.20 08:13:26 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2012.11.20 08:13:26 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2012.11.20 08:13:26 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.11.28 19:55:06 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4:64bit: - HKLM..\Run: [HP Color LaserJet CM1312 MFP Series Fax] C:\Program Files (x86)\HP\HP Color LaserJet CM1312 MFP Series\hppfaxprintersrv.exe (Hewlett-Packard Company) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [FineReader7NewsReaderPro] C:\Program Files (x86)\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe (ABBYY (BIT Software)) O4 - HKLM..\Run: [HPUsageTracking] C:\Program Files (x86)\HP\HP UT\bin\hppusg.exe (Hewlett-Packard Company) O4 - HKLM..\Run: [SBAMTray] C:\Program Files (x86)\GFI Software\VIPRE\SBAMTray.exe (GFI Software) O4 - HKLM..\Run: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [ToolBoxFX] C:\Program Files (x86)\HP\ToolBoxFX\bin\HPTLBXFX.exe (HP) O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000..\Run: [Btwqey] C:\Users\tine\AppData\Roaming\PSHEDV.dll () O4 - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000..\Run: [KSS] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" /autorun File not found O4 - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000..\Run: [Spybot-S&D Cleaning] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.10.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D15C4484-95A3-443E-AD99-60AB440CA094}: DhcpNameServer = 192.168.10.1 O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{9fac406e-f194-11df-84fc-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{9fac406e-f194-11df-84fc-806e6f6e6963}\Shell\AutoRun\command - "" = Start.exe O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2012.11.29 20:53:34 | 000,000,000 | ---D | C] -- C:\_OTL [2012.11.29 09:25:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET [2012.11.28 20:26:28 | 000,000,000 | ---D | C] -- C:\Users\tine\AppData\Roaming\Mozilla [2012.11.28 19:56:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner [2012.11.28 19:56:43 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner [2012.11.28 17:15:12 | 000,000,000 | ---D | C] -- C:\Users\tine\AppData\Roaming\Malwarebytes [2012.11.28 17:14:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.11.28 17:14:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.11.28 17:14:10 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2012.11.28 17:14:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2012.11.28 15:29:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2012.11.28 15:29:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2 [2012.11.28 15:29:00 | 000,017,272 | ---- | C] (Safer Networking Limited) -- C:\Windows\SysNative\sdnclean64.exe [2012.11.28 15:28:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2 [2012.11.28 15:28:04 | 000,000,000 | ---D | C] -- C:\Users\tine\AppData\Local\Programs [2012.11.27 20:35:54 | 000,000,000 | ---D | C] -- C:\Users\tine\Desktop\Kalender [2012.11.23 01:00:00 | 000,035,456 | ---- | C] (GFI Software) -- C:\Windows\SysNative\drivers\gfiark.sys [2012.11.22 11:32:45 | 000,000,000 | ---D | C] -- C:\Users\tine\Documents\Aufgabenblätter Mathematik [2012.11.07 09:58:38 | 000,000,000 | ---D | C] -- C:\Windows\Minidump [2012.11.07 09:54:25 | 000,000,000 | ---D | C] -- C:\AMD [2012.11.07 09:47:35 | 000,646,248 | ---- | C] (Realtek ) -- C:\Windows\SysNative\drivers\Rt64win7.sys [2012.11.06 11:21:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID [2012.11.06 11:21:42 | 000,000,000 | ---D | C] -- C:\Program Files\CPUID [2012.11.03 13:42:04 | 000,000,000 | -HSD | C] -- C:\found.000 ========== Files - Modified Within 30 Days ========== [2012.11.29 21:23:41 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2012.11.29 21:23:41 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2012.11.29 21:23:41 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2012.11.29 21:23:41 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2012.11.29 21:23:41 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2012.11.29 21:22:01 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.11.29 21:22:01 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.11.29 21:16:57 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.11.29 21:16:55 | 2118,770,687 | -HS- | M] () -- C:\hiberfil.sys [2012.11.29 21:01:46 | 000,133,632 | ---- | M] () -- C:\Users\tine\Desktop\GetInfo.exe [2012.11.29 13:49:50 | 000,061,636 | ---- | M] () -- C:\Users\tine\Desktop\Beweis Satz des Pythagoras.pdf [2012.11.29 13:47:01 | 002,946,064 | ---- | M] () -- C:\Users\tine\Desktop\pythagoras-fachuebergreifend-2000_2.pdf [2012.11.28 20:29:12 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe [2012.11.28 20:29:12 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl [2012.11.28 20:26:25 | 000,001,151 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk [2012.11.28 20:07:20 | 000,001,409 | ---- | M] () -- C:\Users\tine\Desktop\Internet Explorer (64-bit).lnk [2012.11.28 20:03:48 | 000,004,032 | ---- | M] () -- C:\Users\tine\Documents\cc_20121128_200344.reg [2012.11.28 20:00:59 | 000,022,922 | ---- | M] () -- C:\Users\tine\Documents\cc_20121128_200020.reg [2012.11.28 19:55:06 | 000,000,824 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts [2012.11.28 17:08:29 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk [2012.11.28 16:10:54 | 000,874,578 | ---- | M] () -- C:\Users\tine\AppData\Local\census.cache [2012.11.28 16:10:46 | 000,106,479 | ---- | M] () -- C:\Users\tine\AppData\Local\ars.cache [2012.11.28 16:06:24 | 000,000,036 | ---- | M] () -- C:\Users\tine\AppData\Local\housecall.guid.cache [2012.11.28 13:58:36 | 000,112,908 | ---- | M] () -- C:\Users\tine\Desktop\Reiseanmeldung1.pdf [2012.11.28 13:55:20 | 000,110,692 | ---- | M] () -- C:\Users\tine\Desktop\Rechnung.pdf [2012.11.27 22:38:04 | 000,296,954 | ---- | M] () -- C:\Users\tine\Desktop\lion_trans1.jpg [2012.11.27 22:37:18 | 025,520,962 | ---- | M] () -- C:\Users\tine\Desktop\lion_trans.psd [2012.11.27 22:15:35 | 000,072,384 | ---- | M] () -- C:\Users\tine\Desktop\schneemann_blank.jpg [2012.11.27 22:03:29 | 000,072,611 | ---- | M] () -- C:\Users\tine\Desktop\schneemann.jpg [2012.11.26 18:52:23 | 000,202,079 | ---- | M] () -- C:\Users\tine\Desktop\11_Exodus.pdf [2012.11.26 18:49:12 | 000,131,072 | RHS- | M] () -- C:\Users\tine\AppData\Roaming\PSHEDV.dll [2012.11.26 18:28:06 | 000,237,403 | ---- | M] () -- C:\Users\tine\Desktop\Frosch.pdf [2012.11.22 13:17:22 | 005,397,032 | ---- | M] () -- C:\Users\tine\Desktop\Katze.pdf [2012.11.22 13:15:55 | 000,963,440 | ---- | M] () -- C:\Users\tine\Desktop\Faszination_Katze_PDF.pdf [2012.11.06 11:21:42 | 000,000,869 | ---- | M] () -- C:\Users\Public\Desktop\CPUID CPU-Z.lnk ========== Files Created - No Company Name ========== [2012.11.29 21:01:46 | 000,133,632 | ---- | C] () -- C:\Users\tine\Desktop\GetInfo.exe [2012.11.29 13:49:50 | 000,061,636 | ---- | C] () -- C:\Users\tine\Desktop\Beweis Satz des Pythagoras.pdf [2012.11.29 13:47:01 | 002,946,064 | ---- | C] () -- C:\Users\tine\Desktop\pythagoras-fachuebergreifend-2000_2.pdf [2012.11.28 20:26:25 | 000,001,163 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [2012.11.28 20:26:25 | 000,001,151 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk [2012.11.28 20:07:20 | 000,001,409 | ---- | C] () -- C:\Users\tine\Desktop\Internet Explorer (64-bit).lnk [2012.11.28 20:03:46 | 000,004,032 | ---- | C] () -- C:\Users\tine\Documents\cc_20121128_200344.reg [2012.11.28 20:00:26 | 000,022,922 | ---- | C] () -- C:\Users\tine\Documents\cc_20121128_200020.reg [2012.11.28 16:10:54 | 000,874,578 | ---- | C] () -- C:\Users\tine\AppData\Local\census.cache [2012.11.28 16:10:46 | 000,106,479 | ---- | C] () -- C:\Users\tine\AppData\Local\ars.cache [2012.11.28 16:06:24 | 000,000,036 | ---- | C] () -- C:\Users\tine\AppData\Local\housecall.guid.cache [2012.11.28 15:29:03 | 000,002,189 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk [2012.11.28 13:58:35 | 000,112,908 | ---- | C] () -- C:\Users\tine\Desktop\Reiseanmeldung1.pdf [2012.11.28 13:55:19 | 000,110,692 | ---- | C] () -- C:\Users\tine\Desktop\Rechnung.pdf [2012.11.27 22:38:02 | 000,296,954 | ---- | C] () -- C:\Users\tine\Desktop\lion_trans1.jpg [2012.11.27 22:37:16 | 025,520,962 | ---- | C] () -- C:\Users\tine\Desktop\lion_trans.psd [2012.11.27 22:15:33 | 000,072,384 | ---- | C] () -- C:\Users\tine\Desktop\schneemann_blank.jpg [2012.11.27 21:51:14 | 000,072,611 | ---- | C] () -- C:\Users\tine\Desktop\schneemann.jpg [2012.11.26 18:52:23 | 000,202,079 | ---- | C] () -- C:\Users\tine\Desktop\11_Exodus.pdf [2012.11.26 18:49:12 | 000,131,072 | RHS- | C] () -- C:\Users\tine\AppData\Roaming\PSHEDV.dll [2012.11.26 18:28:06 | 000,237,403 | ---- | C] () -- C:\Users\tine\Desktop\Frosch.pdf [2012.11.22 13:17:22 | 005,397,032 | ---- | C] () -- C:\Users\tine\Desktop\Katze.pdf [2012.11.22 13:15:55 | 000,963,440 | ---- | C] () -- C:\Users\tine\Desktop\Faszination_Katze_PDF.pdf [2012.11.07 09:47:35 | 000,074,272 | ---- | C] () -- C:\Windows\SysNative\RtNicProp64.dll [2012.11.06 11:21:42 | 000,000,869 | ---- | C] () -- C:\Users\Public\Desktop\CPUID CPU-Z.lnk [2012.09.28 02:29:54 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat [2012.09.28 02:29:54 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat [2012.06.27 15:06:59 | 000,000,027 | ---- | C] () -- C:\Users\tine\geonext.ini [2011.09.12 23:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat [2010.05.25 11:29:22 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2010.02.12 13:54:41 | 000,007,609 | ---- | C] () -- C:\Users\tine\AppData\Local\Resmon.ResmonCfg ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:30:56 | 014,165,504 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2012.06.11 14:23:11 | 000,000,000 | ---D | M] -- C:\Users\tine\AppData\Roaming\cornelsen [2012.11.28 19:57:27 | 000,000,000 | ---D | M] -- C:\Users\tine\AppData\Roaming\FileZilla [2012.02.16 09:48:50 | 000,000,000 | ---D | M] -- C:\Users\tine\AppData\Roaming\GFI Software [2012.05.24 21:31:15 | 000,000,000 | ---D | M] -- C:\Users\tine\AppData\Roaming\TeamViewer [2010.02.11 15:53:21 | 000,000,000 | ---D | M] -- C:\Users\tine\AppData\Roaming\Temp ========== Purity Check ========== < End of report > |
|
29.11.2012, 23:55
| #8 |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup hi hmm, Script scheint wohl nicht funktioniert zu haben, bitte in OTL alles ab Codebox reinkopieren. dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O4 - HKU\S-1-5-21-3568278715-1815380235-1142484941-1000..\Run: [Btwqey] C:\Users\tine\AppData\Roaming\PSHEDV.dll ()
:Files
C:\Users\tine\AppData\Roaming\PSHEDV.dll
:Commands
[EMPTYFLASH]
[emptytemp]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
30.11.2012, 11:41
| #9 |
| | Wie entferne ich Win32/Ponmocup Hi, script ausgeführt... OTL.txt PHP-Code: Alle infos habe ich direkt nach dem Neustart aus OTL gepostet. Werde jetzt nochmal booten und sehen, ob der Prozess "Btwqey" wieder kommt. Aktuell nicht zu sehen. ciao PDW |
|
30.11.2012, 13:10
| #10 | |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup hi danke nu gings. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
03.12.2012, 22:57
| #11 |
| | Wie entferne ich Win32/Ponmocup Hi, war leider die letzen Tage Land unter....aber jetzt... combo...txt Combofix Logfile: Code:
ATTFilter ComboFix 12-12-02.01 - tine 03.12.2012 22:46:54.1.4 - x64
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.8155.6672 [GMT 1:00]
ausgeführt von:: c:\users\tine\Desktop\ComboFix.exe
AV: GFI Software VIPRE *Disabled/Updated* {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
FW: GFI Software VIPRE *Disabled* {D8E2FCF1-08D5-B2AA-8EF8-8BDC523B58BC}
SP: GFI Software VIPRE *Disabled/Updated* {5BB89C30-6480-BC7C-9F17-199BD76F557A}
SP: Spybot - Search and Destroy *Disabled/Updated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-03 bis 2012-12-03 ))))))))))))))))))))))))))))))
.
.
2012-12-03 21:49 . 2012-12-03 21:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-11-29 19:53 . 2012-11-30 10:31 -------- d-----w- C:\_OTL
2012-11-29 08:25 . 2012-11-29 08:25 -------- d-----w- c:\program files (x86)\ESET
2012-11-28 18:56 . 2012-11-28 18:56 -------- d-----w- c:\program files\CCleaner
2012-11-28 16:15 . 2012-11-28 16:15 -------- d-----w- c:\users\tine\AppData\Roaming\Malwarebytes
2012-11-28 16:14 . 2012-11-28 16:14 -------- d-----w- c:\programdata\Malwarebytes
2012-11-28 16:14 . 2012-11-28 16:15 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-11-28 16:14 . 2012-09-29 18:54 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-11-28 14:29 . 2012-11-28 14:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-11-28 14:29 . 2009-01-25 11:14 17272 ----a-w- c:\windows\system32\sdnclean64.exe
2012-11-28 14:28 . 2012-11-28 14:29 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy 2
2012-11-28 14:28 . 2012-11-28 14:28 -------- d-----w- c:\users\tine\AppData\Local\Programs
2012-11-23 00:00 . 2012-10-24 08:32 35456 ----a-w- c:\windows\system32\drivers\gfiark.sys
2012-11-07 08:54 . 2012-11-07 08:54 -------- d-----w- C:\AMD
2012-11-07 08:47 . 2011-09-29 09:30 74272 ----a-w- c:\windows\system32\RtNicProp64.dll
2012-11-07 08:47 . 2011-09-29 09:30 646248 ----a-w- c:\windows\system32\drivers\Rt64win7.sys
2012-11-06 10:21 . 2012-11-06 10:21 -------- d-----w- c:\program files\CPUID
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-28 19:29 . 2012-09-07 07:54 73656 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-11-28 19:29 . 2012-09-07 07:54 697272 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-25 08:39 . 2012-10-25 08:39 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2012-10-25 08:39 . 2012-10-25 08:39 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2012-10-25 08:39 . 2012-10-25 08:39 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-10-25 08:39 . 2012-10-25 08:39 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2012-10-25 08:39 . 2012-10-25 08:39 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2012-10-25 08:39 . 2012-10-25 08:39 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2012-10-25 08:39 . 2012-10-25 08:39 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2012-10-25 08:39 . 2012-10-25 08:39 367104 ----a-w- c:\windows\SysWow64\html.iec
2012-10-25 08:39 . 2012-10-25 08:39 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2012-10-25 08:39 . 2012-10-25 08:39 1800704 ----a-w- c:\windows\SysWow64\jscript9.dll
2012-10-25 08:39 . 2012-10-25 08:39 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2012-10-25 08:39 . 2012-10-25 08:39 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2012-10-25 08:39 . 2012-10-25 08:39 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2012-10-25 08:39 . 2012-10-25 08:39 1427968 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2012-10-25 08:39 . 2012-10-25 08:39 1129472 ----a-w- c:\windows\SysWow64\wininet.dll
2012-10-25 08:39 . 2012-10-25 08:39 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2012-10-25 08:39 . 2012-10-25 08:39 96768 ----a-w- c:\windows\system32\mshtmled.dll
2012-10-25 08:39 . 2012-10-25 08:39 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-10-25 08:39 . 2012-10-25 08:39 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-10-25 08:39 . 2012-10-25 08:39 89088 ----a-w- c:\windows\system32\ie4uinit.exe
2012-10-25 08:39 . 2012-10-25 08:39 85504 ----a-w- c:\windows\system32\jsproxy.dll
2012-10-25 08:39 . 2012-10-25 08:39 85504 ----a-w- c:\windows\system32\iesetup.dll
2012-10-25 08:39 . 2012-10-25 08:39 82432 ----a-w- c:\windows\system32\icardie.dll
2012-10-25 08:39 . 2012-10-25 08:39 816640 ----a-w- c:\windows\system32\jscript.dll
2012-10-25 08:39 . 2012-10-25 08:39 76800 ----a-w- c:\windows\system32\tdc.ocx
2012-10-25 08:39 . 2012-10-25 08:39 729088 ----a-w- c:\windows\system32\msfeeds.dll
2012-10-25 08:39 . 2012-10-25 08:39 65024 ----a-w- c:\windows\system32\pngfilt.dll
2012-10-25 08:39 . 2012-10-25 08:39 599040 ----a-w- c:\windows\system32\vbscript.dll
2012-10-25 08:39 . 2012-10-25 08:39 55296 ----a-w- c:\windows\system32\msfeedsbs.dll
2012-10-25 08:39 . 2012-10-25 08:39 534528 ----a-w- c:\windows\system32\ieapfltr.dll
2012-10-25 08:39 . 2012-10-25 08:39 49664 ----a-w- c:\windows\system32\imgutil.dll
2012-10-25 08:39 . 2012-10-25 08:39 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-10-25 08:39 . 2012-10-25 08:39 452608 ----a-w- c:\windows\system32\dxtmsft.dll
2012-10-25 08:39 . 2012-10-25 08:39 448512 ----a-w- c:\windows\system32\html.iec
2012-10-25 08:39 . 2012-10-25 08:39 403248 ----a-w- c:\windows\system32\iedkcs32.dll
2012-10-25 08:39 . 2012-10-25 08:39 39936 ----a-w- c:\windows\system32\iernonce.dll
2012-10-25 08:39 . 2012-10-25 08:39 3695416 ----a-w- c:\windows\system32\ieapfltr.dat
2012-10-25 08:39 . 2012-10-25 08:39 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2012-10-25 08:39 . 2012-10-25 08:39 30720 ----a-w- c:\windows\system32\licmgr10.dll
2012-10-25 08:39 . 2012-10-25 08:39 282112 ----a-w- c:\windows\system32\dxtrans.dll
2012-10-25 08:39 . 2012-10-25 08:39 267776 ----a-w- c:\windows\system32\ieaksie.dll
2012-10-25 08:39 . 2012-10-25 08:39 249344 ----a-w- c:\windows\system32\webcheck.dll
2012-10-25 08:39 . 2012-10-25 08:39 248320 ----a-w- c:\windows\system32\ieui.dll
2012-10-25 08:39 . 2012-10-25 08:39 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb
2012-10-25 08:39 . 2012-10-25 08:39 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-10-25 08:39 . 2012-10-25 08:39 237056 ----a-w- c:\windows\system32\url.dll
2012-10-25 08:39 . 2012-10-25 08:39 2312704 ----a-w- c:\windows\system32\jscript9.dll
2012-10-25 08:39 . 2012-10-25 08:39 222208 ----a-w- c:\windows\system32\msls31.dll
2012-10-25 08:39 . 2012-10-25 08:39 2144768 ----a-w- c:\windows\system32\iertutil.dll
2012-10-25 08:39 . 2012-10-25 08:39 197120 ----a-w- c:\windows\system32\msrating.dll
2012-10-25 08:39 . 2012-10-25 08:39 17810944 ----a-w- c:\windows\system32\mshtml.dll
2012-10-25 08:39 . 2012-10-25 08:39 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2012-10-25 08:39 . 2012-10-25 08:39 165888 ----a-w- c:\windows\system32\iexpress.exe
2012-10-25 08:39 . 2012-10-25 08:39 163840 ----a-w- c:\windows\system32\ieakui.dll
2012-10-25 08:39 . 2012-10-25 08:39 160256 ----a-w- c:\windows\system32\wextract.exe
2012-10-25 08:39 . 2012-10-25 08:39 160256 ----a-w- c:\windows\system32\ieakeng.dll
2012-10-25 08:39 . 2012-10-25 08:39 149504 ----a-w- c:\windows\system32\occache.dll
2012-10-25 08:39 . 2012-10-25 08:39 1494528 ----a-w- c:\windows\system32\inetcpl.cpl
2012-10-25 08:39 . 2012-10-25 08:39 145920 ----a-w- c:\windows\system32\iepeers.dll
2012-10-25 08:39 . 2012-10-25 08:39 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2012-10-25 08:39 . 2012-10-25 08:39 1392128 ----a-w- c:\windows\system32\wininet.dll
2012-10-25 08:39 . 2012-10-25 08:39 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-10-25 08:39 . 2012-10-25 08:39 1346048 ----a-w- c:\windows\system32\urlmon.dll
2012-10-25 08:39 . 2012-10-25 08:39 12288 ----a-w- c:\windows\system32\mshta.exe
2012-10-25 08:39 . 2012-10-25 08:39 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2012-10-25 08:39 . 2012-10-25 08:39 114176 ----a-w- c:\windows\system32\admparse.dll
2012-10-25 08:39 . 2012-10-25 08:39 111616 ----a-w- c:\windows\system32\iesysprep.dll
2012-10-25 08:39 . 2012-10-25 08:39 10925568 ----a-w- c:\windows\system32\ieframe.dll
2012-10-25 08:39 . 2012-10-25 08:39 10752 ----a-w- c:\windows\system32\msfeedssync.exe
2012-10-25 08:39 . 2012-10-25 08:39 103936 ----a-w- c:\windows\system32\inseng.dll
2012-10-25 08:39 . 2012-10-25 08:39 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2012-10-25 08:38 . 2012-10-25 08:38 982912 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2012-10-25 08:38 . 2012-10-25 08:38 662528 ----a-w- c:\windows\system32\XpsPrint.dll
2012-10-25 08:38 . 2012-10-25 08:38 470016 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2012-10-25 08:38 . 2012-10-25 08:38 283648 ----a-w- c:\windows\SysWow64\XpsGdiConverter.dll
2012-10-25 08:38 . 2012-10-25 08:38 265088 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
2012-10-25 08:38 . 2012-10-25 08:38 229888 ----a-w- c:\windows\system32\XpsRasterService.dll
2012-10-25 08:38 . 2012-10-25 08:38 1888256 ----a-w- c:\windows\system32\WMVDECOD.DLL
2012-10-25 08:38 . 2012-10-25 08:38 1863680 ----a-w- c:\windows\system32\ExplorerFrame.dll
2012-10-25 08:38 . 2012-10-25 08:38 1619456 ----a-w- c:\windows\SysWow64\WMVDECOD.DLL
2012-10-25 08:38 . 2012-10-25 08:38 1495040 ----a-w- c:\windows\SysWow64\ExplorerFrame.dll
2012-10-25 08:38 . 2012-10-25 08:38 144384 ----a-w- c:\windows\system32\cdd.dll
2012-10-25 08:38 . 2012-10-25 08:38 135168 ----a-w- c:\windows\SysWow64\XpsRasterService.dll
2012-10-25 08:38 . 2012-10-25 08:38 1133568 ----a-w- c:\windows\system32\FntCache.dll
2012-10-25 08:38 . 2012-10-25 08:38 442880 ----a-w- c:\windows\SysWow64\XpsPrint.dll
2012-10-25 08:38 . 2012-10-25 08:38 4068864 ----a-w- c:\windows\system32\mf.dll
2012-10-25 08:38 . 2012-10-25 08:38 3181568 ----a-w- c:\windows\SysWow64\mf.dll
2012-10-25 08:38 . 2012-10-25 08:38 257024 ----a-w- c:\windows\system32\mfreadwrite.dll
2012-10-25 08:38 . 2012-10-25 08:38 206848 ----a-w- c:\windows\system32\mfps.dll
2012-10-25 08:38 . 2012-10-25 08:38 196608 ----a-w- c:\windows\SysWow64\mfreadwrite.dll
2012-10-17 00:31 . 2012-10-25 08:33 9291768 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{5D8846E7-C9FE-4ED7-B844-05F69CF2E635}\mpengine.dll
2012-09-28 02:05 . 2012-09-28 02:05 70144 ----a-w- c:\windows\system32\coinst_9.002.dll
2012-09-28 02:03 . 2012-09-28 02:03 163840 ----a-w- c:\windows\system32\atiapfxx.exe
2012-09-28 01:43 . 2012-09-28 01:43 935424 ----a-w- c:\windows\SysWow64\aticfx32.dll
2012-09-28 01:41 . 2012-09-28 01:41 1120768 ----a-w- c:\windows\system32\aticfx64.dll
2012-09-28 01:39 . 2012-09-28 01:39 442368 ----a-w- c:\windows\system32\atidemgy.dll
2012-09-28 01:13 . 2012-09-28 01:13 17920 ----a-w- c:\windows\system32\atig6pxx.dll
2012-09-28 01:13 . 2012-09-28 01:13 14848 ----a-w- c:\windows\SysWow64\atiglpxx.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spybot-S&D Cleaning"="c:\program files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" [2012-11-13 3713032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-10 98304]
"FineReader7NewsReaderPro"="c:\program files (x86)\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-08-19 278528]
"HPUsageTracking"="c:\program files (x86)\HP\HP UT\bin\hppusg.exe" [2009-05-11 24576]
"ToolBoxFX"="c:\program files (x86)\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2009-10-22 53248]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"SBAMTray"="c:\program files (x86)\GFI Software\VIPRE\SBAMTray.exe" [2012-09-20 3149704]
"SDTray"="c:\program files (x86)\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WinTV Recording Status..lnk - c:\program files (x86)\WinTV\WinTV7\WinTVTray.exe [2010-2-18 83456]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean64.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBPIMSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-29 676936]
R2 SBAMSvc;VIPRE Internet Security;c:\program files (x86)\GFI Software\VIPRE\SBAMSvc.exe [2012-09-20 3677000]
R3 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64;c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2010-02-12 1038088]
R3 gfiark;gfiark;c:\windows\system32\drivers\gfiark.sys [2012-10-24 35456]
R3 SbHips;SbHips;c:\windows\system32\drivers\sbhips.sys [2012-09-20 61216]
R3 sbwtis;sbwtis;c:\windows\system32\DRIVERS\sbwtis.sys [2012-09-20 86816]
R3 SDScannerService;Spybot-S&D 2 Scanner Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [2012-11-13 1103392]
R3 SDUpdateService;Spybot-S&D 2 Updating Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2012-11-13 1369624]
R3 SDWSCService;Spybot-S&D 2 Security Center Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [2012-11-13 168384]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-04-25 52736]
R4 HP LaserJet Service;HP LaserJet Service;c:\program files (x86)\HP\HPLaserJetService\HPLaserJetService.exe [2009-06-01 136192]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2009-08-06 16128]
S1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2012-09-20 258848]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-11-11 202752]
S2 gfi_lanss10_attservice;GFI LanGuard 10 Attendant Service;c:\program files (x86)\GFI Software\VIPRE\LanGuard 10 Agent\lnssatt.exe [2012-09-12 115568]
S2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\program files (x86)\Kodak\AiO\Center\ekdiscovery.exe [2009-08-05 284016]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-29 399432]
S2 sbapifs;sbapifs;c:\windows\system32\DRIVERS\sbapifs.sys [2012-09-12 82872]
S2 SBPIMSvc;SB Recovery Service;c:\program files (x86)\GFI Software\VIPRE\SBPIMSvc.exe [2012-09-20 175496]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2320920]
S3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2009-08-06 257664]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2009-08-06 15872]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2009-08-06 339840]
S3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2009-08-06 440064]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2009-08-06 21632]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-29 244736]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-29 25928]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-09-29 646248]
S3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2012-09-12 120064]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-11-03 8317472]
"HP Color LaserJet CM1312 MFP Series Fax"="c:\program files (x86)\HP\HP Color LaserJet CM1312 MFP Series\hppfaxprintersrv.exe" [2009-09-22 3700736]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.10.1
FF - ProfilePath - c:\users\tine\AppData\Roaming\Mozilla\Firefox\Profiles\jbg9k2fa.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
Notify-SDWinLogon - SDWinLogon.dll
AddRemove-ESET Online Scanner - c:\program files (x86)\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10d.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-12-03 22:51:18
ComboFix-quarantined-files.txt 2012-12-03 21:51
.
Vor Suchlauf: 13 Verzeichnis(se), 76.165.345.280 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 76.018.372.608 Bytes frei
.
- - End Of File - - D81615A0CD37CB97D2112E882E54F89C
ciao PDW |
|
04.12.2012, 00:15
| #12 |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup lade den CCleaner standard: CCleaner Download - CCleaner 3.21.1767 falls der CCleaner bereits instaliert ist, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
04.12.2012, 09:35
| #13 |
| | Wie entferne ich Win32/Ponmocup Hi, hier die Liste.... PHP-Code: |
|
04.12.2012, 13:47
| #14 |
| /// Malware-holic | Wie entferne ich Win32/Ponmocup deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: CPUID* ESET* Java downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren deinstaliere: Nero*: alle Skype*Toolbars**** Skype aktualisieren: Installieren Sie Skype kostenlos für Anrufe, Videoanrufe und IM deinstalire: Spybot* Öffne ccleaner, analysieren, starten, pc neustarten. Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
05.12.2012, 10:21
| #15 |
| | Wie entferne ich Win32/Ponmocup Hi, PHP-Code: |
|
| Themen zu Wie entferne ich Win32/Ponmocup |
| bho, converter, cpu-z, desktop, excel, firefox, flash player, hijack, hijackthis, install.exe, kaspersky, logfile, plug-in, ponmocup, problem, realtek, richtlinie, safer networking, scan, security, senden, software, suchmaschine, svchost.exe, trojaner, win32/ponmocup, win32/ponmocup.aa, windows |
