Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sparkasse Login: TAN Abfrage

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.10.2010, 09:43   #1
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Moin,

ich habe hier einen Rechner der anscheinend mit einem JAVA Virus/Trojaner whatever befallen ist. Während des Online-Bankings bei der Sparkasse erscheint eine TAN Abfrage.

Combofix, Kaspersky Boot CD, Antivir Boot CD, Malwarebytes, GMER, Antivir Premium, Hijackthis usw. habe ich drüberlaufen lassen.
Die Programme finden erstmal nichts mehr.
Ich möchte allerdings sichergehen, daß wieder Alles i.O. ist.
Vielleicht könnt ihr mir ja helfen.

Zitat:
OTL logfile created on: 27.10.2010 09:33:18 - Run 1
OTL by OldTimer - Version 3.2.17.1 Folder = C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 196,51 Gb Free Space | 84,38% Space Free | Partition Type: NTFS

Computer Name: FAHRSCHU-1C2363 | User Name: Pilla | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2010.10.27 09:31:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.10.21 15:38:07 | 001,930,552 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\dfsetup121\Defraggler.exe
PRC - [2010.09.16 19:59:28 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
PRC - [2010.08.24 11:38:16 | 000,247,144 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
PRC - [2010.04.21 18:05:20 | 000,161,136 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\FamItrfc.Exe
PRC - [2010.04.21 18:05:20 | 000,161,136 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\FamItrf2.Exe
PRC - [2010.04.21 06:02:02 | 001,242,480 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\rserver3.exe
PRC - [2010.04.19 12:49:22 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010.04.19 12:49:22 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010.04.19 12:49:22 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.04.19 12:49:21 | 000,536,232 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
PRC - [2010.03.24 15:57:32 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.03.24 15:57:30 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.03.24 15:57:30 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2009.12.09 16:01:20 | 000,606,208 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
PRC - [2009.05.07 02:01:00 | 001,904,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2009.05.07 02:01:00 | 000,368,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.13 14:50:28 | 001,289,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\wcescomm.exe
PRC - [2006.11.13 14:50:16 | 000,199,464 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\rapimgr.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE


========== Modules (SafeList) ==========

MOD - [2010.10.27 09:31:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.04.14 04:22:14 | 000,586,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mlang.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010.04.21 06:02:02 | 001,242,480 | ---- | M] (Famatech Corp.) [Auto | Running] -- C:\WINDOWS\System32\rserver30\RServer3.exe -- (RServer3)
SRV - [2010.04.19 12:49:22 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010.04.19 12:49:22 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010.04.19 12:49:22 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.04.19 12:49:21 | 000,536,232 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2010.03.24 15:57:32 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2010.01.26 13:41:08 | 000,652,800 | ---- | M] (Nokia) [Disabled | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.05.07 02:01:00 | 000,368,640 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2007.01.31 15:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Disabled | Stopped] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [File_System | Unknown | Running] -- -- (setup_9.0.0.722_26.10.2010_07-24drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\VGASYS32_100507.sys -- (MSI_VGASYS_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\msibios32_100507.sys -- (MSI_MSIBIOS_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\DVDSYS32_100507.sys -- (MSI_DVD_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\DgiVecp.sys -- (DgiVecp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\UWEBCK~1\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Unknown | Running] -- -- (00680112)
DRV - File not found [Kernel | Disabled | Running] -- C:\WINDOWS\System32\DRIVERS\00680111.sys -- (00680111)
DRV - [2010.06.08 01:57:00 | 010,531,200 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2010.04.21 06:02:00 | 000,046,280 | ---- | M] (Famatech Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\rserver30\raddrvv3.sys -- (raddrvv3)
DRV - [2010.04.21 06:02:00 | 000,003,328 | ---- | M] (Famatech International Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rminiv3.sys -- (mirrorv3)
DRV - [2010.03.24 15:57:32 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.03.24 15:57:32 | 000,102,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2010.03.24 15:57:32 | 000,079,432 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2010.03.24 15:57:32 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.03.17 16:40:12 | 005,878,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.11.12 14:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.06.09 12:24:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.05.20 08:56:59 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.07 02:01:00 | 000,440,832 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusbn.sys -- (fwlanusbn)
DRV - [2009.05.07 02:01:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2009.05.07 02:01:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.03.13 07:19:32 | 000,045,344 | R--- | M] (FotoNation Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CoachVid.sys -- (CoachVid)
DRV - [2008.01.03 22:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.12.14 09:21:32 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\MSI\Live Update 4\LU4\FlashSys.sys -- (FLASHSYS)
DRV - [2007.05.07 03:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;192.168.178.1

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0


FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.17 13:43:09 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.21 15:24:50 | 000,000,000 | ---D | M]

[2009.05.27 15:28:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Extensions
[2009.05.27 15:28:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.10.26 09:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\extensions
[2010.05.08 09:43:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.10.23 19:43:07 | 000,001,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\searchplugins\winamp-search.xml
[2010.10.26 09:35:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.10.26 09:34:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.10.26 09:34:17 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.06.30 18:26:34 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.30 18:26:34 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.30 18:26:34 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.30 18:26:34 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.30 18:26:34 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.10.26 17:17:32 | 000,423,486 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 14598 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: () - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\Programme\klickTel\klickTel Toolbar\kttoolbar.dll (klickTel AG)
O3 - HKLM\..\Toolbar: (&klickTel Toolbar) - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\Programme\klickTel\klickTel Toolbar\kttoolbar.dll (klickTel AG)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O15 - HKCU\..Trusted Domains: com ([www.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: com.tw ([asia.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: com.tw ([global.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range37 ([*] in Lokales Intranet)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.98.110 62.220.18.8
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.20 03:50:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.10.26 17:13:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Pilla\Recent
[2010.10.26 09:37:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.10.26 09:34:43 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.10.26 09:34:28 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.10.26 09:34:28 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.10.26 09:34:28 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.10.26 09:34:28 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.10.26 09:34:13 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.10.26 09:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Sun
[2010.10.22 09:12:20 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\IECompatCache
[2010.10.22 09:11:56 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\PrivacIE
[2010.10.22 09:08:33 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\IETldCache
[2010.10.22 09:06:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.10.22 09:05:31 | 011,080,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ieframe.dll
[2010.10.22 09:05:31 | 001,986,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll
[2010.10.22 09:05:31 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.10.22 09:05:31 | 000,602,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeeds.dll
[2010.10.22 09:05:31 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeedsbs.dll
[2010.10.22 09:05:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.10.22 09:04:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.10.22 08:58:03 | 000,000,000 | ---D | C] -- C:\Service
[2010.10.22 08:56:18 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.10.21 15:36:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
[2010.10.21 15:28:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\rserver30
[2010.10.21 15:28:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2010.10.21 15:25:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Malwarebytes
[2010.10.21 15:25:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.10.21 15:24:58 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.21 15:24:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.21 15:24:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.21 15:24:54 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.21 15:24:50 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.10.20 18:05:21 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.10.14 14:17:55 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2010.10.14 14:17:55 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll
[2010.10.14 14:17:49 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2010.10.06 14:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\com.nyt.timesreader.78C54164786ADE80CB31E1C5D95607D0938C987A.1
[2010.10.06 14:15:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.10.04 18:10:03 | 000,000,000 | ---D | C] -- C:\Programme\avmwlanstick
[2010.09.30 15:51:22 | 000,000,000 | ---D | C] -- C:\Programme\OXXOGames
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.10.27 08:59:00 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.10.26 17:17:32 | 000,423,486 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.10.26 15:59:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.26 15:07:23 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.26 12:42:56 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.26 09:34:16 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.10.26 09:34:16 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.10.26 09:34:16 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.10.26 09:34:16 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.10.26 09:34:16 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.10.25 14:05:35 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.25 14:05:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.22 19:29:48 | 008,650,752 | -H-- | M] () -- C:\Dokumente und Einstellungen\Pilla\NTUSER.DAT
[2010.10.22 19:29:48 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Pilla\ntuser.ini
[2010.10.22 17:00:09 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.10.21 16:24:34 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.10.20 16:45:37 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Word.lnk
[2010.10.20 16:28:24 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Outlook.lnk
[2010.10.20 14:21:13 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Excel.lnk
[2010.10.19 20:03:01 | 000,000,357 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2010.10.14 14:56:21 | 001,071,242 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.10.14 14:56:21 | 000,462,322 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.14 14:56:21 | 000,444,028 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.14 14:56:21 | 000,085,344 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.14 14:56:21 | 000,071,904 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.14 14:55:39 | 000,195,848 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.14 14:19:37 | 000,000,623 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.10.08 14:07:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.10.05 18:18:46 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.05 14:17:57 | 000,050,176 | -H-- | M] () -- C:\WINDOWS\System32\cmdlplui.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.10.11 15:18:13 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.10.08 14:07:11 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.10.05 14:17:57 | 000,050,176 | -H-- | C] () -- C:\WINDOWS\System32\cmdlplui.dll
[2010.09.13 13:43:45 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2010.07.01 20:14:07 | 000,113,392 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.05.04 13:47:48 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010.03.16 13:51:11 | 000,000,357 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2010.01.15 14:33:06 | 000,022,723 | ---- | C] () -- C:\WINDOWS\System32\cl31cl3.dll
[2009.04.23 11:44:33 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.08 13:34:05 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2009.01.08 18:53:58 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2008.12.04 17:29:34 | 000,001,408 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.12.04 17:29:33 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.09.24 14:43:43 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc
[2008.09.22 13:44:30 | 000,000,365 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
[2008.09.22 13:44:30 | 000,000,234 | ---- | C] () -- C:\WINDOWS\PrnHlpLogConfig.ini
[2008.09.22 13:44:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\HelpFilesUpdatePatch_HELPFILEREPLACE.log
[2008.09.22 08:51:26 | 000,003,226 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\PatchUpdate_InstantShareJPG.log
[2008.09.22 08:51:25 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini
[2008.09.22 08:51:02 | 000,004,027 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\PatchUpdate_IZClosingDiscError.log
[2008.09.22 08:51:02 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini
[2008.09.22 08:48:41 | 000,028,571 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
[2008.09.22 08:48:41 | 000,000,221 | ---- | C] () -- C:\WINDOWS\HP_RedboxHprblog_HPSU.ini
[2008.08.27 15:06:38 | 000,000,043 | ---- | C] () -- C:\WINDOWS\hpfccopy.INI
[2008.08.22 14:15:23 | 000,000,214 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2008.08.20 20:07:29 | 000,000,099 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008.08.20 20:06:25 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDED68PE.ini
[2008.08.20 20:03:23 | 000,048,896 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2008.08.20 20:03:22 | 000,000,143 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.08.20 19:58:48 | 000,000,346 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2008.08.20 18:53:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\$_hpcst$.hpc
[2008.08.20 18:52:12 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.08.20 04:37:35 | 001,071,242 | ---- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2008.08.20 04:37:35 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.20 04:37:08 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
[2008.08.20 03:57:46 | 006,922,128 | -H-- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2008.08.20 03:56:42 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\desktop.ini
[2008.08.20 03:50:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\control.ini
[2008.08.20 03:48:00 | 000,000,037 | ---- | C] () -- C:\WINDOWS\vbaddin.ini
[2008.08.20 03:48:00 | 000,000,036 | ---- | C] () -- C:\WINDOWS\vb.ini
[2008.08.20 03:47:12 | 000,027,055 | ---- | C] () -- C:\WINDOWS\System32\tslabels.ini
[2008.08.20 03:47:11 | 000,003,999 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.ini
[2007.10.04 11:14:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.04 14:00:00 | 001,015,477 | ---- | C] () -- C:\WINDOWS\System32\esentprf.ini
[2004.08.04 14:00:00 | 000,733,696 | ---- | C] () -- C:\WINDOWS\System32\qedwipes.dll
[2004.08.04 14:00:00 | 000,355,112 | ---- | C] () -- C:\WINDOWS\System32\msjetoledb40.dll
[2004.08.04 14:00:00 | 000,270,848 | ---- | C] () -- C:\WINDOWS\System32\sbe.dll
[2004.08.04 14:00:00 | 000,253,440 | ---- | C] () -- C:\WINDOWS\System32\compatui.dll
[2004.08.04 14:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\System32\ir32_32.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | C] () -- C:\WINDOWS\System32\encdec.dll
[2004.08.04 14:00:00 | 000,094,282 | ---- | C] () -- C:\WINDOWS\System32\msencode.dll
[2004.08.04 14:00:00 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\amstream.dll
[2004.08.04 14:00:00 | 000,053,478 | ---- | C] () -- C:\WINDOWS\System32\tcpmon.ini
[2004.08.04 14:00:00 | 000,042,809 | ---- | C] () -- C:\WINDOWS\System32\key01.sys
[2004.08.04 14:00:00 | 000,042,537 | ---- | C] () -- C:\WINDOWS\System32\keyboard.sys
[2004.08.04 14:00:00 | 000,035,648 | ---- | C] () -- C:\WINDOWS\System32\ntio411.sys
[2004.08.04 14:00:00 | 000,035,424 | ---- | C] () -- C:\WINDOWS\System32\ntio412.sys
[2004.08.04 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio804.sys
[2004.08.04 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio404.sys
[2004.08.04 14:00:00 | 000,034,032 | ---- | C] () -- C:\WINDOWS\System32\ntio.sys
[2004.08.04 14:00:00 | 000,029,370 | ---- | C] () -- C:\WINDOWS\System32\ntdos411.sys
[2004.08.04 14:00:00 | 000,029,274 | ---- | C] () -- C:\WINDOWS\System32\ntdos412.sys
[2004.08.04 14:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos804.sys
[2004.08.04 14:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos404.sys
[2004.08.04 14:00:00 | 000,027,914 | ---- | C] () -- C:\WINDOWS\System32\ntdos.sys
[2004.08.04 14:00:00 | 000,027,097 | ---- | C] () -- C:\WINDOWS\System32\country.sys
[2004.08.04 14:00:00 | 000,017,241 | ---- | C] () -- C:\WINDOWS\System32\rsvp.ini
[2004.08.04 14:00:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\tsd32.dll
[2004.08.04 14:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\msdmo.dll
[2004.08.04 14:00:00 | 000,014,060 | ---- | C] () -- C:\WINDOWS\System32\pschdprf.ini
[2004.08.04 14:00:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\win87em.dll
[2004.08.04 14:00:00 | 000,009,032 | ---- | C] () -- C:\WINDOWS\System32\ansi.sys
[2004.08.04 14:00:00 | 000,006,287 | ---- | C] () -- C:\WINDOWS\System32\rasctrs.ini
[2004.08.04 14:00:00 | 000,004,992 | ---- | C] () -- C:\WINDOWS\System32\himem.sys
[2004.08.04 14:00:00 | 000,004,438 | ---- | C] () -- C:\WINDOWS\System32\perfci.ini
[2004.08.04 14:00:00 | 000,004,233 | ---- | C] () -- C:\WINDOWS\System32\perfwci.ini
[2004.08.04 14:00:00 | 000,001,783 | ---- | C] () -- C:\WINDOWS\System32\perffilt.ini
[2004.08.04 14:00:00 | 000,001,405 | ---- | C] () -- C:\WINDOWS\msdfmap.ini
[2004.08.04 14:00:00 | 000,000,623 | ---- | C] () -- C:\WINDOWS\win.ini
[2004.08.04 14:00:00 | 000,000,369 | ---- | C] () -- C:\WINDOWS\System32\prodspec.ini
[2004.08.04 14:00:00 | 000,000,227 | ---- | C] () -- C:\WINDOWS\system.ini
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.08.18 06:54:08 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\paqsp.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6462F1FD
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C31F31E6
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMPFC5A2B2

< End of report >

Alt 27.10.2010, 09:56   #2
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\System32\cmdlplui.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dann noch bitte:
Dr. Web
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________

__________________

Alt 27.10.2010, 10:55   #3
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hier die Datei von Virustotal.com:

Code:
ATTFilter
Antivirus results 
AhnLab-V3 - 2010.10.27.01 - 2010.10.27 - Win-Trojan/Variant.50176.AA  
AntiVir - 7.10.13.47 - 2010.10.27 - - 
Antiy-AVL - 2.0.3.7 - 2010.10.27 - - 
Authentium - 5.2.0.5 - 2010.10.27 - W32/FakeAlert.IA.gen!Eldorado  
Avast - 4.8.1351.0 - 2010.10.26 - Win32:Carberp-B  
Avast5 - 5.0.594.0 - 2010.10.26 - Win32:Carberp-B  
AVG - 9.0.0.851 - 2010.10.26 - PSW.Generic8.ZAQ  
BitDefender - 7.2 - 2010.10.27 - Gen:Variant.Ursnif.18  
CAT-QuickHeal - 11.00 - 2010.10.26 - - 
ClamAV - 0.96.2.0-git - 2010.10.27 - - 
Comodo - 6526 - 2010.10.27 - - 
DrWeb - 5.0.2.03300 - 2010.10.27 - BackDoor.Spy.647  
Emsisoft - 5.0.0.50 - 2010.10.27 - - 
eSafe - 7.0.17.0 - 2010.10.26 - - 
eTrust-Vet - 36.1.7937 - 2010.10.26 - - 
F-Prot - 4.6.2.117 - 2010.10.26 - W32/FakeAlert.IA.gen!Eldorado  
F-Secure - 9.0.16160.0 - 2010.10.27 - Gen:Variant.Ursnif.18  
Fortinet - 4.2.249.0 - 2010.10.27 - - 
GData - 21 - 2010.10.27 - Gen:Variant.Ursnif.18  
Ikarus - T3.1.1.90.0 - 2010.10.27 - - 
Jiangmin - 13.0.900 - 2010.10.27 - - 
K7AntiVirus - 9.66.2838 - 2010.10.26 - Riskware  
Kaspersky - 7.0.0.125 - 2010.10.27 - - 
McAfee - 5.400.0.1158 - 2010.10.27 - - 
McAfee-GW-Edition - 2010.1C - 2010.10.27 - - 
Microsoft - 1.6301 - 2010.10.27 - VirTool:Win32/Obfuscator.JL  
NOD32 - 5566 - 2010.10.27 - - 
Norman - 6.06.10 - 2010.10.26 - - 
nProtect - 2010-10-27.01 - 2010.10.27 - Trojan/W32.Agent.50176.JK  
Panda - 10.0.2.7 - 2010.10.27 - - 
PCTools - 7.0.3.5 - 2010.10.27 - - 
Prevx - 3.0 - 2010.10.27 - - 
Rising - 22.71.01.04 - 2010.10.27 - - 
Sophos - 4.58.0 - 2010.10.27 - Mal/EncPk-TV  
Sunbelt - 7148 - 2010.10.27 - Backdoor.Win32.Papras.rx (v)  
SUPERAntiSpyware - 4.40.0.1006 - 2010.10.27 - - 
Symantec - 20101.2.0.161 - 2010.10.27 - - 
TheHacker - 6.7.0.1.069 - 2010.10.27 - - 
TrendMicro - 9.120.0.1004 - 2010.10.27 - - 
TrendMicro-HouseCall - 9.120.0.1004 - 2010.10.27 - - 
VBA32 - 3.12.14.1 - 2010.10.25 - BScope.FearGen.xe  
ViRobot - 2010.10.25.4110 - 2010.10.27 - - 
VirusBuster - 12.70.6.0 - 2010.10.26 - Trojan.Ursnif.Gen!Pac  
File info: 
MD5: f3be817639d404af66aa8ca3d5ca84ba 
SHA1: c40c6bb1c45d716b500ac04bbd2419d9a7bac3a6 
SHA256: 67d49582d1903e2f60b0e7e001f4304d79b98d30a211e3fef6b6310ab723a2e7 
File size: 50176 bytes 
Scan date: 2010-10-27 08:52:40 (UTC)
         
__________________

Alt 27.10.2010, 14:02   #4
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
[2010.10.05 14:17:57 | 000,050,176 | -H-- | M] () -- C:\WINDOWS\System32\cmdlplui.dll

:Commands
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Dann noch:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.10.2010, 14:10   #5
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Ich habe die DLL bereits händisch gelöscht. Dr.Web läuft z.Z. als Komplett-Scan durch - dauert noch.


Alt 27.10.2010, 15:46   #6
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

ja, Dr.Web braucht da etwas länger zu...

chris
__________________
--> Sparkasse Login: TAN Abfrage

Alt 27.10.2010, 16:46   #7
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hm, ich bin mir grad nicht sicher, ob die Protokolldatei von Dr. Web richtig erstellt wurde. Jedenfalls wurde folgendes protokolliert:

Code:
ATTFilter
A0109094.cmd;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP650;Wahrscheinlich BATCH.Virus;;
A0109876.exe\32788R22FWJFW\Create.cmd;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657\A0109876.exe;Wahrscheinlich BATCH.Virus;;
A0109876.exe;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657;Archiv enthält infizierte Objekte;Verschoben.;
A0109885.dll;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657;BackDoor.Spy.647;Gelöscht.;
         

Alt 27.10.2010, 16:53   #8
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Was macht der Rechner?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.10.2010, 17:14   #9
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Restore Point ist gelöscht/deaktiviert und wieder aktiviert. Bis auf die Tatsache, dass javaw.exe im normalen XP Modus abstürzt, läuft der Rechner.
Diesbezüglich habe ich bereits Java kompl. deinstalliert, soweit es mir möglich war händisch JAVA Reste gelöscht und die neueste Version installiert. Der Fehler besteht weiterhin - sporadisch.

Eine PIN Abfrage konnte ich bei der Sparkasse nun nicht mehr feststellen, was ich aber schon nach der Kaspersky Boot CD nicht konnte :-)

Alt 27.10.2010, 21:07   #10
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

hm, darauf (java) kann ich mir keinen reim machen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.10.2010, 11:55   #11
aw-kapa
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Das hat auch nichts mit Viren/Trojaner zu tun. Ist in meinen Augen ein allgemeines Betriebssystem-Problem. Da ist anscheinend irgendwas durcheinander.

Der Virus ist jedenfalls gelöscht.

Vielen Dank für die freundliche Unterstützung!

Alt 28.10.2010, 12:11   #12
Chris4You
 
Sparkasse Login: TAN Abfrage - Standard

Sparkasse Login: TAN Abfrage



Hi,

probier mal das hier:
System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Sparkasse Login: TAN Abfrage
0 bytes, 0x00000001, adobe, alternate, antivir, avgntflt.sys, avira, bho, cdburnerxp, components, desktop, einstellungen, error, explorer, firefox, fontcache, format, helper, hijack, hijackthis, home, intranet, jusched.exe, kaspersky, location, logfile, mozilla, nodrives, nvidia, object, oldtimer, otl logfile, realtek, registry, safer networking, scan, searchplugins, software, stick, tan abfrage, temp, virus/trojaner



Ähnliche Themen: Sparkasse Login: TAN Abfrage


  1. ARP -a Abfrage
    Netzwerk und Hardware - 14.10.2015 (3)
  2. Win 7, Login-Screen flackert, kein Login möglich
    Log-Analyse und Auswertung - 08.12.2014 (5)
  3. Win 7, Login-Screen flackert, kein Login möglich
    Log-Analyse und Auswertung - 06.12.2014 (3)
  4. Merkwürdige TAN-Abfrage nach Login bei Online-Banking
    Plagegeister aller Art und deren Bekämpfung - 19.05.2013 (27)
  5. Sparkasse Allgäu Trojaner mit TAN Abfrage + auch Problem bei Deutsche Bank
    Log-Analyse und Auswertung - 05.12.2011 (6)
  6. Sparkasse TAN Trojaner - Sparkasse Allgäu - Abfrage von 25 TAN
    Plagegeister aller Art und deren Bekämpfung - 27.11.2011 (45)
  7. Sparkasse - Abfrage von 20 Tan Nummern
    Log-Analyse und Auswertung - 27.08.2011 (3)
  8. Sparkasse 20 TAN Abfrage Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (9)
  9. 20 TAN Abfrage Sparkasse Was tun? OTL Analyse schon dabei!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (17)
  10. Trojaner? Sparkasse Onlinebanking 20 TAN Abfrage
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (17)
  11. 20 Tan-Abfrage beim Online-Banking der Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (18)
  12. Deutsche Bank 28-TAN-Tableau-Abfrage nach Login
    Plagegeister aller Art und deren Bekämpfung - 21.11.2010 (39)
  13. 20 Tan abfrage Trojaner bei der Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (9)
  14. Online-Banking (Sparkasse) verlangt nach Login Eingabe von mehreren TAN
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (1)
  15. Trojaner? TAN Abfrage nach Login bei Targo Bank
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (13)
  16. Sparkasse Onlinebanking (TAN Abfrage)
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (1)
  17. Sparkasse Fake Seite nach Login
    Plagegeister aller Art und deren Bekämpfung - 04.03.2010 (6)

Zum Thema Sparkasse Login: TAN Abfrage - Moin, ich habe hier einen Rechner der anscheinend mit einem JAVA Virus/Trojaner whatever befallen ist. Während des Online-Bankings bei der Sparkasse erscheint eine TAN Abfrage. Combofix, Kaspersky Boot CD, Antivir - Sparkasse Login: TAN Abfrage...
Archiv
Du betrachtest: Sparkasse Login: TAN Abfrage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.