Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.04.2010, 23:01   #1
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Böse

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo,
ich bin in Panik. Auf dem PC meiner Frau werden alle Programme geblockt (Task-Manager, cmd.exe, ...). Es erscheint eine Meldung (Application cannot be executed. The file xyz is infected. Do you want to activated your antivirus software now?).
Der Internet-Explorer wird stets auf die Seite
//alphaantivir.microsoft.com/block.php
gelenkt.
Ich habe als erstes den CCleaner installiert (ging erstaunlicherweise). Ließ sich dann aber nicht starten (geblockt). So was ist in meinem PC-Leben noch nie passiert. Ich bin aber selbst schuld, da ich die Sicherheit vernachlässigt habe. Meine Frau reißt mir den Kopf ab. Was kann ich da machen?

Gruß und im Vorraus vielen Dank
Andreas

Alt 16.04.2010, 23:04   #2
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo,
habe vergessen die Version anzugeben:
Windows XP Home SP 2

Gruß Andreas
__________________


Alt 16.04.2010, 23:09   #3
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt





USB Stick vorhanden bzw kannst Du dir eine CD brennen?
__________________
__________________

Alt 16.04.2010, 23:26   #4
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,
ich kann eine CD brennen, einen USB Stick habe ich auch.
Beim Brennen erfolgt in regeläßigen Abständen die Security Warnung.

Gruß
Andreas

Alt 16.04.2010, 23:28   #5
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Du bist kwasi mit dem verseuchten Rechner online ?

Versuchen wir einmal folgendes

schritt 1

Downloade Dir bitte exehelper von Raktor.
Speichere die Datei auf dem Desktop.
Doppelklick auf die exeHelper.com um das Tool zu starten.
Es sollte ein schwarzes Fenster aufpoppen. Drücke nach dem das Tool fertig ist eine beliebige Taste um es zu schließen.
Poste nun den Inhalt der exehelperlog.txt. ( Diese befindet sich dort, wo Du exehelper gespeichert hast )


schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Bitte poste in Deiner nächsten Antwort
Exehelperlog.txt
OTL.txt
Extras.txt

(PS ich muss jz ins Bett, sehe ich mir morgen vormittag an)

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 16.04.2010, 23:45   #6
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,
bin NICHT mit dem Laptop Online (geht nicht da permanent Umlenkung auf Antivirus-Seite). Habe meinen PC neben dran. Mit dem bin ich Online.
Habe das Programm exeHelper und OTL heruntergeladen und per Stick auf den infizierten Laptop kopiert. Leider lassen sich die Programme nicht ausführen (wird geblockt).

PS: Bin erst am Sonntag nachmittag wieder Online.

Vielen Dank und einen guten Schlaf (im Gegensatz zu mir)

Andreas

Alt 17.04.2010, 07:36   #7
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Naja dann versuch ma mal das

Downloade Dir bitte Roguehelper.exe ( by Larusso ).
  • Speichere die Datei auf deinem Desktop.
  • Schließe bitte einen USB Stick an.
  • Doppelklick auf die roguehelper.exe
  • Wähle nun den Laufwerksbuchstaben des USB Sticks. ( D E F oder G )
    Solltest Du Dir nicht sicher sein welchen Buchstaben der Steckplatz hat, tippe bitte D ein.
  • Das Tool wird nun ein paar Dateien auf den USB Stick kopieren.
  • Nun solltest Du Files copied successfully on <Laufwerksbuchstabe> lesen.
    Sollten Fehlermeldungen auftauchen klicke bitte einfach auf weiter. Das kann an leeren Steckplätzen liegen.
  • Stecke nun den USB Stick an den infizierten PC und folge den Anweisungen im DOS Fenster.

Wichtig: Sollte deine Anti- Viren- Software eine autorun.inf finden diese nicht löschen lassen. Die ist Teil des Tools.

Wenn der Scan beendet wurde, schließe den USB Stick mit gehaltener Shift- Taste an den sauberen PC an.
Navigiere nun auf Arbeitsplatz --> Rechtsklick auf den USB Stick --> Öffnen
und poste die OTL.txt hier in deinen Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 18.04.2010, 18:36   #8
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,
ich hab ein Vista-Rechner (uninfiziert) und der legt mir die USB-Stick auf "J". D.h. das Programm kann die Dateien nicht auf den Stick kopieren. Kann ich die Lauftragerbezeichnung ändern auf z.B "F"? Wenn nicht muß ich das morgen im Büro machen.

Gruß
Andreas

Alt 18.04.2010, 18:43   #9
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Ne musst Du nicht. J ist nicht soooo oft vergeben, daher habe ich den nit eingebaut
Werde ich wenn Zeit ist machen aber ich hab auch daran gedacht. Danke

Auf dem Rechner wo die roguehelper.exe ist, befindet sich unter C:\User\< Dein username> ein Ordner Roguehelper
Öffne diesen und kopiere alle darin enthaltenen Dateien auf den USB Stick

Schließe diesen bitte an den bereits gestarteten, verseuchten PC an.

Wenn sich kein DOS Fenster danach öffnet, müssen wir uns eine CD brennen oder andere Wege finden.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 18.04.2010, 19:51   #10
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,
habe eine CD mit dem Inhalt (6 Dateien) unter Verzeichnis roguehelper gebrannt. Leider funktioniert trotz Datei "autorun.inf" das automatische Starten nicht. Es wird nur der Explorer geoffnet mit dem Inhalt der CD. Auf dem infizierten PC habe irgendwann mal die Autoplay Funktion auf für CD auf "Ornder öffnen" gesetzt!
Die Kommandoaufforderung "cmd.exe" läßt sich übrigens auch nicht ausführen!!!

Gruß
Andreas

Alt 18.04.2010, 20:01   #11
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Okay dann ist eventuell die autoplay funktion abgestellt. Ob das mit CD funzt kann ich jz so gar nicht sagen. Mit USB Stick funktionierts nicht ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 18.04.2010, 20:53   #12
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,
Problem. Ganz kurz erscheint die Eingabeaufforderung, wird dann beendet und die "Security Warnung" erscheint. Habe es mit dem USB-Stick probiert, nachdem ich alle alten Daten darauf entfernt habe und den Inhalt von roguehelper darauf kopiert habe.

Gruß
Andreas

Alt 18.04.2010, 21:20   #13
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Okay, also OTH startet nicht. Dann will das nicht so wie ich will.

Ok diese Anleitung ist groß. Drucke sie dir aus damit du weißt was du tun must.

Zwei Programme sind zu downloaden.

Schritt 1

ISOBurner
Dies wird dir erlauben die OTLPE ISO auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch. Wie brenne ich eine ISO Datei auf CD/DVD


Schritt 2
  • Download OTLPE.iso und brenne es mit ISOBurner auf eine CD. NOTE: Die Datei ist 292MB groß und wird deshalb ein wenig dauern bis du sie gedownloadet hast.
  • Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
  • Starte dein System neu und boote von der CD die du gerade erstellt hast.
    Note : Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, dann folge diesen Schritten hier
  • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
  • Mache einen doppel Klick auf das OTLPE Icon.
  • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
  • OTL sollte nun starten. Ändere die folgenden Einstellungen
    • Change Drivers to Non-Microsoft
  • Drücke Run Scan um den Scan zu starten.
  • Wenn er fertig ist werden die Dateien in C:\OTL.txt gesichert
  • Kopiere diese Datei auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt der OTL.txt Datei in diesen Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 18.04.2010, 23:33   #14
AndreasB
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Hallo Daniel,

erst einmal vielen Dank für deine Mühe.
Anbei der Inhalt von OTL.txt

OTL logfile created on: 4/19/2010 12:22:44 AM - Run
OTLPE by OldTimer - Version 3.1.37.2 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 138.27 Gb Total Space | 102.19 Gb Free Space | 73.91% Space Free | Partition Type: NTFS
Drive D: | 10.78 Gb Total Space | 0.43 Gb Free Space | 4.00% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 276.80 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - [2009/02/03 08:53:00 | 001,155,072 | ---- | M] (MAGIX AG) [Auto] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008/08/07 04:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2008/02/27 16:27:55 | 001,251,720 | ---- | M] () [On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- (Symantec Core LC)
SRV - [2008/01/29 12:38:32 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service)
SRV - [2007/09/26 05:53:56 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate)
SRV - [2007/09/26 05:53:56 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Automatisches LiveUpdate - Scheduler)
SRV - [2007/05/08 02:38:46 | 000,540,448 | ---- | M] (PDF Complete Inc) [Auto] -- C:\Programme\PDF Complete\pdfsvc.exe -- (pdfcDispatcher)
SRV - [2007/04/19 07:35:46 | 000,075,304 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007/03/29 11:50:50 | 000,221,184 | ---- | M] (SafeBoot International) [Auto] -- c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe -- (HpFkCryptService)
SRV - [2007/02/06 21:30:00 | 000,074,240 | R--- | M] (Cognizance Corporation) [Auto] -- C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll -- (ASBroker)
SRV - [2007/01/13 11:11:06 | 000,080,504 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Norton Internet Security\isPwdSvc.exe -- (ISPwdSvc)
SRV - [2007/01/12 07:40:58 | 000,049,248 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe -- (comHost)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (LiveUpdate Notice Ex)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (ccSetMgr)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (ccEvtMgr)
SRV - [2007/01/04 14:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
SRV - [2007/01/04 12:19:28 | 000,047,712 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- (SymAppCore)
SRV - [2006/11/06 07:31:14 | 000,887,544 | ---- | M] (Sonic Solutions) [On_Demand] -- c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9)
SRV - [2006/11/01 05:17:32 | 000,073,728 | R--- | M] (MicroVision Development, Inc.) [On_Demand] -- c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - [2006/10/26 14:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/06/22 01:14:00 | 000,131,584 | R--- | M] (Cognizance Corporation) [Auto] -- C:\Programme\Hewlett-Packard\IAM\Bin\ASChnl.dll -- (ASChannel)
SRV - [2004/10/21 21:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2001/02/23 05:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Google Search
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Search
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555

IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Daniela_2_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\Daniela_2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555



IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Putzi_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




O1 HOSTS File: ([2004/08/04 04:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBHO.dll (Symantec Corporation)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (Credential Manager for HP ProtectTools) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll (Bioscrypt Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll (Symantec Corporation)
O3 - HKU\Admin_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Daniela_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Putzi_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\accelerometerST.exe (Hewlett-Packard Corporation)
O4 - HKLM..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [CognizanceTS] C:\Programme\Hewlett-Packard\IAM\Bin\ASTSVCC.dll (Cognizance Corporation)
O4 - HKLM..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKLM..\Run: [MsmqIntCert] C:\WINDOWS\System32\mqrt.dll (Microsoft Corporation)
O4 - HKLM..\Run: [osCheck] C:\Programme\Norton Internet Security\osCheck.exe (Symantec Corporation)
O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe ()
O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe ()
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - HKU\Admin_ON_C..\Run: [] File not found
O4 - HKU\Admin_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Admin_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Admin_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Administrator_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_2_ON_C..\Run: [] File not found
O4 - HKU\Daniela_2_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Daniela_2_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Daniela_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Daniela_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKU\Putzi_ON_C..\Run: [] File not found
O4 - HKU\Putzi_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Putzi_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Putzi_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Photosmart Premier – Schnellstart.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk = C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe (Matsushita Electric Industrial Co., Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Daniela_2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Daniela_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Putzi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\OneCard: DllName - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll (Cognizance Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\HP Cityscape Wide.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\HP Cityscape Wide.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001/07/27 19:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004/04/30 11:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{4a972252-e22f-11dc-8c73-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{4a972252-e22f-11dc-8c73-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5b02a562-ef3b-11dc-8c91-001a73c0a93b}\Shell - "" = AutoRun
O33 - MountPoints2\{5b02a562-ef3b-11dc-8c91-001a73c0a93b}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010/04/16 17:42:55 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010/04/16 16:18:54 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010/04/16 12:07:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso
[2006/02/18 22:28:56 | 000,012,288 | ---- | C] (Hewlett-Packard Development Company, L.P.) -- C:\WINDOWS\Fonts\RandFont.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/04/18 16:41:28 | 000,262,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2010/04/18 16:41:28 | 000,229,376 | -H-- | M] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2010/04/18 16:24:51 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/04/18 16:24:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/04/18 16:24:30 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/04/18 16:21:09 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/18 16:20:57 | 2012,532,736 | -HS- | M] () -- C:\hiberfil.sys
[2010/04/18 15:35:16 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2010/04/18 15:23:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/04/16 17:42:46 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010/04/16 17:34:26 | 000,294,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\exeHelper.com
[2010/04/16 17:21:08 | 000,429,046 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/04/16 17:21:08 | 000,412,118 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/04/16 17:21:08 | 000,078,964 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/04/16 17:21:08 | 000,065,636 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/04/16 17:21:07 | 000,996,928 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/04/16 16:18:55 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010/04/16 15:38:42 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Netzwerkumgebung.lnk
[2010/04/16 14:51:33 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\Daniela\NTUSER.DAT
[2010/04/16 14:51:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2010/04/16 14:12:31 | 000,000,293 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit Lokaler Datenträger (C).lnk
[2010/04/16 11:40:42 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/04/10 16:41:44 | 000,092,672 | RHS- | M] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2010/04/04 15:55:52 | 002,883,584 | -H-- | M] () -- C:\Dokumente und Einstellungen\Putzi\NTUSER.DAT
[2010/03/27 19:05:58 | 000,000,372 | ---- | M] () -- C:\Dokumente und Einstellungen\Putzi\Eigene Dateien\spider.sav
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/04/16 17:35:39 | 000,294,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\exeHelper.com
[2010/04/16 16:18:54 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010/04/16 15:38:42 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Netzwerkumgebung.lnk
[2010/04/16 14:12:31 | 000,000,293 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit Lokaler Datenträger (C).lnk
[2010/04/10 16:41:45 | 000,000,310 | -HS- | C] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/10 16:41:44 | 000,092,672 | RHS- | C] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2009/06/21 16:56:46 | 000,034,265 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\mdbu.bin
[2009/06/21 13:52:09 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009/06/21 13:50:21 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009/03/26 16:21:52 | 000,000,044 | ---- | C] () -- C:\WINDOWS\SMWizard.INI
[2009/02/21 11:16:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\FnF4.txt
[2008/06/28 10:08:19 | 000,408,576 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2008/06/28 10:08:19 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008/06/28 09:57:54 | 000,027,648 | -HS- | C] () -- C:\WINDOWS\System32\Smab0.dll
[2008/03/06 14:03:41 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2008/03/04 16:13:07 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/04 16:13:05 | 004,194,304 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela\NTUSER.DAT
[2008/03/04 16:13:05 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela\ntuser.dat.LOG
[2008/03/04 16:13:05 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Daniela\ntuser.ini
[2008/03/04 16:09:47 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/03 15:51:11 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/03 15:51:09 | 003,407,872 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2008/03/03 15:51:09 | 000,278,528 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG
[2008/03/03 15:51:09 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2008/03/03 15:23:55 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/03 15:23:53 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\NTUSER.DAT
[2008/03/03 15:23:53 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\ntuser.dat.LOG
[2008/03/03 15:23:53 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\ntuser.ini
[2008/03/01 12:59:09 | 000,000,069 | ---- | C] () -- C:\Programme\pp2.ram
[2008/03/01 12:58:38 | 000,000,071 | ---- | C] () -- C:\Programme\pp1.ram
[2008/02/24 08:55:45 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/02/24 08:55:44 | 002,883,584 | -H-- | C] () -- C:\Dokumente und Einstellungen\Putzi\NTUSER.DAT
[2008/02/24 08:55:44 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Putzi\ntuser.dat.LOG
[2008/02/24 08:55:44 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Putzi\ntuser.ini
[2008/02/24 08:24:09 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008/02/23 12:51:59 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2008/02/23 12:51:59 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2008/02/23 12:51:59 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2008/02/23 12:51:59 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2008/02/23 12:51:59 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2008/02/23 12:51:59 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2007/07/26 19:53:50 | 000,029,752 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2007/07/26 19:53:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI
[2007/07/26 19:31:56 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/07/26 19:22:52 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.ini
[2007/07/26 19:22:51 | 000,262,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2007/07/26 19:22:51 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[2007/07/26 19:22:50 | 000,229,376 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2007/07/26 19:22:50 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[2007/07/26 19:22:50 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.ini
[2007/02/06 10:20:00 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2007/02/06 09:55:52 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2007/01/19 10:30:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006/09/18 17:02:40 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylist2Roxio.dll
[2006/09/18 17:02:40 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\CddbFileTaggerRoxio.dll
[2005/02/17 06:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005/02/17 06:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2004/08/07 02:08:52 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2004/08/07 02:08:52 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
[2004/08/07 02:08:52 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2004/08/07 02:08:46 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004/08/07 02:02:10 | 000,000,939 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/04 04:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/08/04 04:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001/11/14 07:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1998/05/06 22:10:00 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\ODMA32.dll

========== LOP Check ==========

[2008/06/28 12:32:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InterVideo
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SampleView
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela_2\Anwendungsdaten\SampleView
[2008/06/28 16:34:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\InterVideo
[2009/06/21 13:54:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\MAGIX
[2009/02/27 15:32:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Panasonic
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SampleView
[2008/04/15 13:54:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Putzi\Anwendungsdaten\InterVideo
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Putzi\Anwendungsdaten\SampleView
[2010/04/18 16:21:09 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\Tasks\Huubolpayz.job

========== Purity Check ==========


< End of report >

Ich hoffe du kannst was damit anfangen.

Gruß
Andreas

Alt 19.04.2010, 15:28   #15
Larusso
/// Selecta Jahrusso
 
Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Standard

Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt



Ne ich kenn mich damit nit aus

schritt 1

Wenn du mit OTLPE keine Internetverbindung herstellen kannst, dann speichere dir bitte folgendes als fix.txt auf einen USB Stick.

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Admin_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\Daniela_2_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Putzi_ON_C..\Run: [] File not found
[2010/04/10 16:41:45 | 000,000,310 | -HS- | C] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/10 16:41:44 | 000,092,672 | RHS- | C] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2010/04/16 12:07:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso
:commands
[emptytemp]
         
Starte nun wieder mit OTLPE. Klicke nun auf den roten Run Fix Button. Wenn du nach einem Script gefragt wirst, navigiere bitte im Explorer von OTLPE zu der fix.txt auf den USB Stick und klicke öffnen.
Nun erneut auf Run Fix klicken.


Nach dem Neustart solltest Du wieder auf dem Infizierten PC arbeiten können. Wenn nicht lass bitte Schritt 2 aus und sage mir bescheid

schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt
Berichte ob die Rogue Software noch Probleme macht
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt
.com, alle programme, antivirus, application cannot be executed., arten, ccleaner, cmd.exe, erschein, erscheint, file, geblockt, gelenkt, installier, installiert, inter, interne, internet, internet-explorer, meldung, nicht starten, not, programme, schuld, sicherheit, software, starte, starten, task-manager



Ähnliche Themen: Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt


  1. LT mit windows 7 webseiten werden auf webung gelenkt
    Log-Analyse und Auswertung - 12.12.2014 (9)
  2. PC mit Win 7 64 bit wird langsam, Mehrere Internet Explorer Prozesse machen sich auf, Antivir wird geblockt, lässt sich nicht mehr starten
    Plagegeister aller Art und deren Bekämpfung - 24.08.2014 (7)
  3. Avira wird von Gruppenrichtlinie geblockt
    Plagegeister aller Art und deren Bekämpfung - 16.06.2014 (9)
  4. Redirector Adware Tracking Cookie krieg ich nicht gelöscht microsoft SE von rundll 32 geblockt
    Log-Analyse und Auswertung - 05.07.2012 (27)
  5. Incoming von 221.192.199.49, wird geblockt von Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (1)
  6. Windows wird geblockt
    Plagegeister aller Art und deren Bekämpfung - 20.03.2012 (1)
  7. aus Sicherheitsgründen wird Windowssystem geblockt!
    Log-Analyse und Auswertung - 16.01.2012 (9)
  8. Internet-Sicherheit-Seiten u.a. werden geblockt
    Plagegeister aller Art und deren Bekämpfung - 08.01.2012 (2)
  9. Trotz neuinstallation wird Internet immer wieder von Virus geblockt.
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (2)
  10. Alle Programme unter Windows 7 werden geblockt
    Log-Analyse und Auswertung - 07.05.2010 (1)
  11. Anti-Spyware Programme werden geblockt, viele Dienste funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 18.04.2010 (3)
  12. Avira wird nicht ausgefuehrt andere Programme koennen nicht installiert werden
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (2)
  13. Google Suchergebnisse werden umgeleitet, Microsoft Update wird nicht angezeigt
    Log-Analyse und Auswertung - 10.03.2009 (18)
  14. Programmstart diverser Progs und AV-Seiten werden geblockt, Internet langsam
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (11)
  15. Internet Explorer 7 öffnet sichohne grund und andere programme werden geöffnet
    Plagegeister aller Art und deren Bekämpfung - 15.10.2007 (0)
  16. Vsmon wird gelöscht und AV's werden geblockt
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (6)
  17. Microsoft Internet Explorer hat ein Problem festgestellt und muss beendet werden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2006 (3)

Zum Thema Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt - Hallo, ich bin in Panik. Auf dem PC meiner Frau werden alle Programme geblockt (Task-Manager, cmd.exe, ...). Es erscheint eine Meldung (Application cannot be executed. The file xyz is infected. - Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt...
Archiv
Du betrachtest: Programme werden geblockt, Internet wird auf alphaantivir.microsoft.com gelenkt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.