Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojaner manipuliert google (postbank tan usw)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.12.2010, 11:24   #1
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



hallo,
ich habe seit ein paar tagen einen trojaner bei mir entdeckt.

ich weiss es gibt hier schon ein paar einträge habe ich vorher geprüft in sachen postbank trojaner
nur passt das alles nicht so recht. zudem findet es auch kein scanner. versucht habe ich malwarebytes,
antivir und ad aware. die suche im netz war bisher ergebnislos

das was ich bisher feststellen konnte ist das der trojaner die google ergebnisse modifiziert.
sucht man z.b. nach postbank tan usw gibt er eigene ergebnisse zurueck.

selbst wenn ich google.de aufrufe finde ich im quelltext sowas:

Code:
ATTFilter
/.. google code entfernt../
<script>
var template = new Array("postbank","tans","tan","falsch");

//--REPLACE DATA--
var titles = new Array();
titles[0] = "<em>Postbank</em>f&uuml;hrt eine &Uuml;berpr&uuml;fung von TAN-Listen durch.";
titles[1] = "<em>Postbank 100 Tan</em> Liste - Trojaner-Board";
titles[2] = "<em>Postbank</em> Online-Banking";

var links = new Array();
links[0] = "hxxp://www.postbank.de/-snm-0184330278-1291240093-06af500011-0000000111-1291242357-enm-privatkunden/girokonten.html;jsessionid=F450451DA67C93DE553390A9DA602F653629.f091";
links[1] = "http://www.trojaner-board.de/69605-f...m-forum.html";
links[2] = "https://banking.postbank.de/app/welcome.do";
/../
         

suche ich z.b. nach postbank
gibt der trojaner auch dieses board als referenz in den sucherergebnissen zurueck und zwar:
h**p://www.trojaner-board.de/69605-fuer-alle-zukuenftigen-und-derzeitigen-helfer-auf-dem-forum.html

bei mir zu haus sieht das deutlich anders aus. der original text wird ersetzt
mit einem hinweis das alles korrekt ist wenn die tans eingegeben werden muessen..


kennt jemand diesen trojaner ?


ich hab mal otl laufen lassen ( ich hoffe soweit mit korrekten einstellungen)

Code:
ATTFilter
OTL logfile created on: 29.12.2010 10:33:20 - Run 1
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\NAME\Desktop\!mp3
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 612,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 7,61 Gb Free Space | 7,80% Space Free | Partition Type: NTFS
Drive E: | 92,77 Gb Total Space | 25,57 Gb Free Space | 27,56% Space Free | Partition Type: NTFS
Drive F: | 93,35 Gb Total Space | 5,03 Gb Free Space | 5,38% Space Free | Partition Type: NTFS
Drive G: | 93,35 Gb Total Space | 1,03 Gb Free Space | 1,10% Space Free | Partition Type: NTFS
Drive J: | 48,83 Gb Total Space | 30,17 Gb Free Space | 61,80% Space Free | Partition Type: NTFS
Drive V: | 92,26 Gb Total Space | 7,13 Gb Free Space | 7,73% Space Free | Partition Type: NTFS
Drive X: | 91,79 Gb Total Space | 40,91 Gb Free Space | 44,57% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTERNAME | User Name: NAME | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.12.28 23:57:29 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\NAME\Desktop\!mp3\OTL.exe
PRC - [2010.12.13 08:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.12.06 19:07:05 | 000,928,496 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2010.07.16 16:32:34 | 000,619,800 | ---- | M] (hxxp://tortoisesvn.net) -- C:\Programme\TortoiseSVN\bin\TSVNCache.exe
PRC - [2009.01.23 15:50:00 | 000,423,200 | ---- | M] (Sony Corporation) -- C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
PRC - [2006.03.11 20:49:16 | 000,221,184 | ---- | M] () -- C:\Programme\FlashMute\flashmute.exe
PRC - [2004.08.03 23:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.08.13 05:25:56 | 000,073,728 | R--- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\sstray.exe
PRC - [2002.12.16 16:51:24 | 000,036,864 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
PRC - [2001.05.06 11:14:22 | 000,020,549 | ---- | M] () -- C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.12.28 23:57:29 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\NAME\Desktop\!mp3\OTL.exe
MOD - [2006.03.11 20:49:16 | 000,114,688 | ---- | M] () -- C:\Programme\FlashMute\mutelib.dll
MOD - [2004.08.03 23:54:28 | 001,050,624 | R--- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = ;*.local;<local>
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60242
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}:2.9.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p="
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.type: 4
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.24 15:16:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 09:46:15 | 000,000,000 | ---D | M]
 
[2009.09.11 11:14:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Extensions
[2010.12.28 22:35:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions
[2010.05.03 22:43:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2010.08.10 11:28:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.28 22:35:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.21 05:43:42 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.21 05:43:42 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.21 05:43:42 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.21 05:43:42 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.21 05:43:42 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 20:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe (Sony Corporation)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [nForce Tray Options] C:\WINDOWS\System32\sstray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard)
O4 - HKLM..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe (Hewlett-Packard)
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [{044340E8-AA2E-509E-C29D-F0CBCE06C890}] C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu\duxy.exe (Adobe Systems Incorporated)
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [FlashMute] C:\Programme\FlashMute\flashmute.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1280422088921 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 89.27.130.33 89.27.130.34 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:AutorunsDisabled () - 
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - C:\Programme\Eudora\EuShlExt.dll (Qualcomm Inc.)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2009.09.11 10:59:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.01.12 02:35:01 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\.com [@ = comfile] -- "%1" %*
O37 - HKLM\.exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.29 10:25:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\NAME\Recent
[2010.12.29 08:45:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Neuer Ordner (3)
[2010.12.28 22:56:14 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.12.28 22:22:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Malwarebytes
[2010.12.28 22:06:11 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.28 22:06:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.28 22:06:06 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.28 22:06:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.27 08:31:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Avira
[2010.12.24 15:22:04 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.12.24 15:22:02 | 000,135,096 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.24 15:22:02 | 000,061,960 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.12.24 15:22:02 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.12.24 15:22:02 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.12.24 15:22:01 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.12.24 15:22:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.12.18 09:14:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Die Unendliche Geschichte
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
[2010.12.17 18:51:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Neuer Ordner
[2010.12.15 14:10:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed
[2010.12.13 08:30:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\fload
[2010.12.13 08:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\2col
[2010.12.11 09:33:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\HaCon
[2010.12.11 09:33:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HaCon
[2010.12.11 09:33:11 | 000,000,000 | ---D | C] -- C:\Programme\FAHRINFO
[2010.12.11 09:33:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HaCon
[2010.12.11 09:32:45 | 000,000,000 | ---D | C] -- C:\KVG Fahrplanauskunft
[2010.12.08 19:13:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2010.12.08 19:08:05 | 000,393,216 | ---- | C] (Snowbound Software Corporation (www.Snowbnd.com)) -- C:\WINDOWS\System32\hcwsnbd9.dll
[2010.12.06 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.12.06 19:03:25 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E961CE1B-C3EA-4882-9F67-F859B555D097}
[2010.12.06 17:25:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.0
[2010.12.05 12:29:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\KickAssembler
[2010.12.04 20:25:38 | 000,000,000 | ---D | C] -- C:\Programme\CamStudio
[2009.09.11 17:36:34 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe
[2009.09.11 17:36:34 | 000,416,768 | ---- | C] (Felix Fehres & Hannes Kamecke GbR) -- C:\Programme\poddox.exe
[2009.09.11 17:36:33 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsia.exe
[2009.09.11 17:36:33 | 001,150,976 | ---- | C] (Hewlet-Packard) -- C:\Programme\hpbtpg.exe
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.29 10:25:52 | 000,000,104 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.12.29 10:24:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.12.29 10:22:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.29 00:06:04 | 000,011,225 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\www.google.de.htm
[2010.12.28 22:06:11 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.28 21:59:40 | 000,059,330 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\search.htm
[2010.12.28 08:37:57 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.25 09:49:43 | 000,000,033 | ---- | M] () -- C:\WINDOWS\QkEngine.INI
[2010.12.24 17:31:03 | 000,778,106 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\SNOWMAN.MSA
[2010.12.24 17:29:38 | 000,634,537 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\snowman-2009_msa.zip
[2010.12.24 15:22:13 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.12.23 17:11:47 | 005,726,824 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\leuchtturm.jpg
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.17 18:49:24 | 000,001,097 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.12.16 09:09:07 | 000,031,605 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.zip
[2010.12.16 09:07:09 | 019,487,220 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.avi
[2010.12.16 08:56:44 | 000,001,023 | ---- | M] () -- C:\WINDOWS\d64editor.cfg
[2010.12.13 18:45:00 | 000,174,848 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.d64
[2010.12.13 08:39:39 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.13 08:39:38 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.12.13 08:34:37 | 001,314,951 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\fload.zip
[2010.12.11 09:33:16 | 000,000,021 | ---- | M] () -- C:\WINDOWS\progman.ini
[2010.12.11 09:32:33 | 002,072,576 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\KVG_Fahrplan_bis_280511.exe
[2010.12.09 09:35:57 | 000,066,781 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Kweepa-vicdoom-9c8ef98.zip
[2010.12.09 09:35:17 | 000,073,099 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg.htm
[2010.12.09 03:58:00 | 000,000,987 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petsid.prg
[2010.12.08 20:40:40 | 000,027,385 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.prg
[2010.12.08 19:12:24 | 000,000,622 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2010.12.08 18:02:38 | 000,000,256 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\312!!!.prg
[2010.12.08 12:11:53 | 000,088,064 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.08 11:50:56 | 000,009,524 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\4D0A.723
[2010.12.08 08:40:42 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.08 08:30:08 | 000,458,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.12.08 08:30:08 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.12.08 08:30:08 | 000,084,318 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.12.08 08:30:08 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.12.08 06:50:00 | 000,020,618 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg
[2010.12.07 21:33:05 | 000,052,438 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Panta_Rhei.zip
[2010.12.06 19:07:17 | 000,098,392 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.12.06 19:03:24 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.12.06 18:26:45 | 000,212,688 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.zip
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.29 00:06:03 | 000,011,225 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\www.google.de.htm
[2010.12.28 22:06:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.28 21:59:39 | 000,059,330 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\search.htm
[2010.12.24 17:31:03 | 000,778,106 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\SNOWMAN.MSA
[2010.12.24 17:29:38 | 000,634,537 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\snowman-2009_msa.zip
[2010.12.24 15:22:13 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.12.23 17:21:44 | 005,726,824 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\leuchtturm.jpg
[2010.12.15 14:06:31 | 019,487,220 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.avi
[2010.12.13 18:44:55 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.d64
[2010.12.13 08:34:36 | 001,314,951 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\fload.zip
[2010.12.11 09:33:16 | 000,000,021 | ---- | C] () -- C:\WINDOWS\progman.ini
[2010.12.11 09:32:33 | 002,072,576 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\KVG_Fahrplan_bis_280511.exe
[2010.12.09 09:36:06 | 000,020,618 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg
[2010.12.09 09:35:57 | 000,066,781 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Kweepa-vicdoom-9c8ef98.zip
[2010.12.09 09:35:16 | 000,073,099 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg.htm
[2010.12.09 09:26:19 | 000,000,987 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petsid.prg
[2010.12.08 20:41:32 | 000,027,385 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.prg
[2010.12.08 19:12:24 | 000,000,622 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2010.12.08 18:02:37 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\312!!!.prg
[2010.12.08 08:38:11 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Cauldron.d64
[2010.12.07 21:33:32 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\PR.D64
[2010.12.07 21:32:56 | 000,052,438 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Panta_Rhei.zip
[2010.12.06 19:03:24 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.12.06 18:26:44 | 000,212,688 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.zip
[2010.12.05 10:07:33 | 000,009,524 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\4D0A.723
[2010.09.17 17:49:56 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.08.25 20:10:33 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.07 05:50:36 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\MPMapTrace.dll
[2010.06.07 05:14:26 | 000,364,544 | ---- | C] () -- C:\WINDOWS\System32\mpPathan.dll
[2010.04.20 10:55:33 | 000,683,520 | ---- | C] () -- C:\WINDOWS\System32\ff_kernelDeint.dll
[2010.04.20 10:55:33 | 000,238,080 | ---- | C] () -- C:\WINDOWS\System32\TomsMoComp_ff.dll
[2010.04.20 10:55:33 | 000,145,609 | ---- | C] () -- C:\WINDOWS\System32\libmpeg2_ff.dll
[2010.04.20 10:55:33 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2010.04.20 10:55:33 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2010.04.20 10:55:32 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2010.04.20 10:55:32 | 000,791,742 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010.04.20 10:55:32 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2010.04.20 10:55:32 | 000,485,888 | ---- | C] () -- C:\WINDOWS\System32\ff_libfaad2.dll
[2010.04.20 10:55:32 | 000,257,024 | ---- | C] () -- C:\WINDOWS\System32\ff_libdts.dll
[2010.04.20 10:55:32 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2010.04.20 10:55:32 | 000,183,296 | ---- | C] () -- C:\WINDOWS\System32\ff_samplerate.dll
[2010.04.20 10:55:32 | 000,178,688 | ---- | C] () -- C:\WINDOWS\System32\ff_libmad.dll
[2010.04.20 10:55:32 | 000,146,944 | ---- | C] () -- C:\WINDOWS\System32\ff_tremor.dll
[2010.04.20 10:55:32 | 000,142,848 | ---- | C] () -- C:\WINDOWS\System32\ff_liba52.dll
[2010.04.20 10:55:32 | 000,113,152 | ---- | C] () -- C:\WINDOWS\System32\ff_unrar.dll
[2010.01.24 21:45:23 | 000,004,993 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xqkcebzs.dik
[2010.01.14 18:27:36 | 000,026,335 | ---- | C] () -- C:\Programme\qdrii_sram.v
[2010.01.13 20:17:37 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.11.05 18:07:20 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll
[2009.09.23 07:07:53 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.09.12 08:28:00 | 000,088,064 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.11 23:26:30 | 000,061,952 | ---- | C] () -- C:\WINDOWS\System32\rmmerge2.DLL
[2009.09.11 23:26:30 | 000,009,728 | ---- | C] () -- C:\WINDOWS\System32\rmevents.DLL
[2009.09.11 18:06:49 | 000,001,097 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2009.09.11 18:02:39 | 000,003,125 | ---- | C] () -- C:\WINDOWS\FORGE32.ini
[2009.09.11 17:38:44 | 000,000,033 | ---- | C] () -- C:\WINDOWS\QkEngine.INI
[2009.09.11 17:36:35 | 000,000,039 | ---- | C] () -- C:\Programme\uninstall.bat
[2009.09.11 17:36:34 | 021,773,310 | ---- | C] () -- C:\Programme\TOOLBO~1.cab
[2009.09.11 17:36:34 | 000,545,434 | ---- | C] () -- C:\Programme\reshack.zip
[2009.09.11 17:36:34 | 000,339,972 | ---- | C] () -- C:\Programme\setuplog.txt
[2009.09.11 17:36:34 | 000,221,184 | ---- | C] () -- C:\Programme\setup.exe
[2009.09.11 17:36:34 | 000,018,865 | ---- | C] () -- C:\Programme\readme2.txt
[2009.09.11 17:36:34 | 000,009,040 | ---- | C] () -- C:\Programme\SETCON~1.cab
[2009.09.11 17:36:34 | 000,001,299 | ---- | C] () -- C:\Programme\Setup.ini
[2009.09.11 17:36:34 | 000,000,309 | ---- | C] () -- C:\Programme\response.ini
[2009.09.11 17:36:33 | 010,779,208 | ---- | C] () -- C:\Programme\hp LaserJet 1010 Series.msi
[2009.09.11 17:36:33 | 003,198,026 | ---- | C] () -- C:\Programme\fonts.cab
[2009.09.11 17:36:33 | 000,986,059 | ---- | C] () -- C:\Programme\drv9x.cab
[2009.09.11 17:36:33 | 000,146,291 | ---- | C] () -- C:\Programme\cu_readme.rtf
[2009.09.11 17:36:33 | 000,000,050 | ---- | C] () -- C:\Programme\install.bat
[2009.09.11 17:36:31 | 000,750,805 | ---- | C] () -- C:\Programme\all98.cab
[2009.09.11 17:36:31 | 000,004,667 | ---- | C] () -- C:\Programme\0x0407.ini
[2009.09.11 17:36:31 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI
[2009.09.11 17:11:10 | 000,017,604 | ---- | C] () -- C:\WINDOWS\hplj1010.ini
[2009.09.11 16:55:07 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2009.09.11 11:52:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.09.11 11:10:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini
[2009.09.11 11:08:07 | 000,018,254 | ---- | C] () -- C:\WINDOWS\System32\ssnvfx.ini
[2009.09.11 11:07:03 | 000,003,587 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.09.11 11:07:00 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.09.11 11:06:39 | 000,009,728 | R--- | C] () -- C:\WINDOWS\System32\sysinfoX64.sys
[2009.09.11 11:06:39 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\sysinfo.sys
[2008.07.01 14:14:40 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\PICBOOT32.dll
[2006.12.13 15:03:14 | 000,074,240 | ---- | C] () -- C:\WINDOWS\System32\zlibwapi.dll
[2006.03.17 12:16:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.17 12:16:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.07.17 10:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2002.05.16 00:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 14:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.04.21 19:30:14 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.04.19 15:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002.04.19 14:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2002.04.01 23:16:30 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002.04.01 23:16:14 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.04.01 23:15:40 | 000,011,264 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002.02.21 17:41:20 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2001.06.22 12:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
 
========== LOP Check ==========
 
[2010.08.23 18:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DesignSpark PCB
[2010.12.11 09:33:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HaCon
[2009.10.14 17:22:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2009.10.14 17:25:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.01.13 20:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2009.12.15 20:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STDUConverter
[2009.11.09 17:28:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10Receiver.NET
[2010.12.06 19:03:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E961CE1B-C3EA-4882-9F67-F859B555D097}
[2009.09.11 17:38:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\CE Software
[2009.11.16 20:40:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\CoSoSys
[2010.12.29 10:23:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
[2010.10.22 20:38:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\FreeVideoConverter
[2010.05.03 22:44:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\GARMIN
[2010.12.11 09:33:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HaCon
[2009.12.10 12:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HDI
[2009.12.10 18:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\hte
[2009.09.26 16:17:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\ibf
[2009.09.11 17:49:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Leadertech
[2010.09.03 14:42:51 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Microchip
[2009.11.11 19:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Miranda
[2010.12.17 21:24:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2009.10.14 17:25:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Nokia
[2009.09.12 09:54:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\OpenOffice.org
[2009.10.14 17:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\PC Suite
[2010.08.25 17:11:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Scooter Software
[2010.10.22 21:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Search Settings
[2009.09.11 18:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Steinberg
[2009.11.27 19:00:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Subversion
[2010.07.27 18:18:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\TextPad
[2010.02.24 18:37:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\WinFF
[2010.01.03 00:22:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Xilinx
[2010.12.29 10:24:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:0BE057BBD55BA8A4

< End of report >
         

waer schoen wenn mir jemand nen tipp geben koennte welcher trojaner das ist...

gruss _ultra_

Alt 29.12.2010, 11:41   #2
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



ich vermute das ist so um den 17.12 passiert...

die eintraege:
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy

sehen irgendwie komisch aus... muss ich nachher mal schauen was dort drin ist (bin gerade nicht zu haus)
__________________


Alt 29.12.2010, 11:56   #3
markusg
/// Malware-holic
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



ich sehe es mir an.
__________________
__________________

Alt 29.12.2010, 11:58   #4
markusg
/// Malware-holic
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [{044340E8-AA2E-509E-C29D-F0CBCE06C890}] C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu\duxy.exe
(Adobe Systems Incorporated)
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html
lasse außerdem unverzüglich onlinebanking sperren.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.12.2010, 12:19   #5
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



danke fuer die schnelle antwort... werde ich nachher mal probieren...


Alt 29.12.2010, 12:49   #6
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



so war schnell zu haus und es mal probiert...

hat geklappt... super ... vielen dank !


noch ein kleiner tipp. man merkt sofort an google das man sich das ding eingefangen hat...
wenn man z.b. nach bildern sucht und dort nichts kommt ist der trojaner aktiv...

die logs poste ich nachher mal...

Alt 29.12.2010, 15:37   #7
markusg
/// Malware-holic
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



den upload auch nicht vergessen.
wir sammeln nur die dateien ein, du musst neu aufsetzen. da diese trojaner für uns unvollziebare enderungen machen können die zb ne neuinfektion erleichtern. oder sie instalieren versteckte komponennten
du musst also, um wieder onlinebanking machen zu können, neu aufsetzen das ist das sicherste.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.12.2010, 15:55   #8
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



hallo,

anbei das log:

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\{044340E8-AA2E-509E-C29D-F0CBCE06C890} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{044340E8-AA2E-509E-C29D-F0CBCE06C890}\ not found.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Myyqu\duxy.exe moved successfully.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Myyqu folder moved successfully.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Etosy folder moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: gott
->Flash cache emptied: 456 bytes
 
User: LocalService
 
User: NetworkService
 
User: oh
->Flash cache emptied: 42851 bytes
 
User: test
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: gott
->Temp folder emptied: 3007168 bytes
->Temporary Internet Files folder emptied: 2604606 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 16479385 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: oh
->Temp folder emptied: 934341776 bytes
->Temporary Internet Files folder emptied: 6129342 bytes
->Java cache emptied: 66142777 bytes
->FireFox cache emptied: 81721918 bytes
->Flash cache emptied: 0 bytes
 
User: test
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 8702120 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 18244964 bytes
 
Total Files Cleaned = 1.090,00 mb
 
 
OTL by OldTimer - Version 3.2.18.0 log created on 12292010_124003

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
den upload mache ich gleich...


ich denke ich werde vorerst nicht den rechner neu aufsetzen... ich verwende das sms tan verfahren... dabei schickt mir die bank eine sms aufs handy mit teilen der ueberweisung und eine gueltige tan... da kann eigentlich nicht viel passieren... wenn was nicht stimmt merke ich das sofort...


das otl is ja nen cooles tool kannte ich nicht... und super seite ... danke nochmal

ultra

Alt 29.12.2010, 16:32   #9
markusg
/// Malware-holic
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



mobile tan ist nicht sicher. es gibt zeus varianten die dir falsche sicherheitszertifikate senden.
und diesmal hast du noch glück gehabt, beim nächsten mal wird deine überweisung vllt von nem neuen trojaner, der durch die geöffneten hintertüren instaliert wird, gefälscht, so das du denkst, du hättest einen betrag überwiesen, in warheit wurde aber alles umgeleitet und die diebe können in ruhe abheben was sie wolln.
http://virus-protect.org/artikel/too...nebanking.html
also noch mal, ich rate dir dringenst, dass du daten sicherst und neu aufsetzt, und zwar nach der anleitung die ich dir geben werde.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.12.2010, 17:19   #10
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



hmm...
ich denke das das nicht funktionieren wird... in der sms von der bank ist die kontonummer (oder ein teil) enthalten wohin ueberwiesen wird... der betrag... und die tan... zudem ist die tan nur kurze zeit gueltig...

sprich erst wenn ich sehe die kontonummer ist richtig gebe ich die tan ein... damit ist die kontonummer schon bei der bank... was soll da noch ein trojaner machen ?
wenn der trojaner alles abfaengt weiss er noch immer nicht meine handynummer um z.b. die sms zu faelschen...

Alt 29.12.2010, 17:57   #11
markusg
/// Malware-holic
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



sicher funktioniert das fälschen von überweisungen, lies link 2. und ne halbe stunde oder so hat der dieb um dein bank konto leer zu räumen.
er zeigt dir falsche kontoauszüge und du guckst nicht mehr nach für 1 2 tage und der typ hat zeit, das geld abzuheben, meist im ausland. und dann hat man die rennerei.
wenn du pech hast, will die bank ein image deines systems und wenn sie feststellen das du wusstest das du nen trojaner hast könnten sie bei der rückerstattung schwierigkeiten machen.
mir persönlich ists wurscht ob du mir glaubst, ich bescheftige mich aber schon länger mit der sache.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.12.2010, 19:09   #12
_ultra_
 
trojaner manipuliert google (postbank tan usw) - Standard

trojaner manipuliert google (postbank tan usw)



das glaub ich dir @beschaeftigen... ich will mich auch nicht mit dir streiten... nur sehe ich das risiko momentan nich...

dann sag mir wie es technisch gehen soll ? ...

ich setze die ueberweisung ab... ich uebermittle die daten an die bank... (kontonummer usw)... wenn da ein trojaner eingreift und die sachen modifiziert (natuerlich geht das faelschen von ueberweisungen...das ist mir auch klar ) sehe ich das doch sofort in der sms der bank ?
ich mein die sms kommt ja von der bank mit der kontonummer mit genau der kontonummer wo es hin soll... wenn die falsch is gebe ich natuerlich nicht die tan ein...
wenn man das nicht prueft klar... dann ist das dumm gelaufen
aber genau diese tan funktioniert auch nur mit der ueberweisung...

>mehr nach für 1 2 tage und der typ hatt zeit, das geld abzuheben, meist im ausland. und dann hatt man die rennerei.
das geht natuerlich nicht... wie denn ? wenn er ne ueberweisung startet bekomm ich doch ne sms...

das einzige was funktionieren wuerde wenn die entwickler des trojaners die handynummer aendern bei der bank ( das geht nur persoenlich ) und meine handynummer haben... nur die wahrscheinlichkeit geht ja gegen null...

ich red ja auch nur von meinem privaten pc... ob das auf smartphones unsicher ist egal... habe ich nicht

Geändert von _ultra_ (29.12.2010 um 19:39 Uhr)

Antwort

Themen zu trojaner manipuliert google (postbank tan usw)
0x00000001, 100 tan, ad-aware, adobe, alternate, aufrufe, avg, avira, bho, bonjour, desktop, e-banking, einstellungen, error, eudora, explorer, firefox, format, google, helper, kunde, location, logfile, nvidia, oldtimer, ordner, pdf, registry, scan, searchplugins, software, spark, suche, tan, tan-liste, trojaner, trojaner-board, yahoo



Ähnliche Themen: trojaner manipuliert google (postbank tan usw)


  1. Google Chrome Einstellungen werden von einem anderen Programm manipuliert
    Log-Analyse und Auswertung - 29.04.2015 (11)
  2. WIN7: Google Suchergebnisse auf Chrome manipuliert
    Log-Analyse und Auswertung - 22.02.2015 (6)
  3. Google Ergebnisse manipuliert
    Log-Analyse und Auswertung - 02.12.2014 (9)
  4. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  5. Computer scheint Spamemails zu versenden und manipuliert Suchergebnisse bei der Bildersuche mit Google
    Log-Analyse und Auswertung - 23.04.2013 (17)
  6. Trojaner manipuliert Sparkassen-Onlinebanking
    Log-Analyse und Auswertung - 10.01.2013 (1)
  7. Trojaner (?) manipuliert Sparkassen Webseite, bzw. PC
    Plagegeister aller Art und deren Bekämpfung - 16.05.2012 (6)
  8. 100-TAN-Trojaner Postbank
    Plagegeister aller Art und deren Bekämpfung - 23.08.2011 (4)
  9. Postbank Trojaner
    Log-Analyse und Auswertung - 17.05.2011 (3)
  10. Postbank TAN Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2011 (1)
  11. Postbank TANs Google Trojaner + Trojan.PWS
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (7)
  12. 40 TAN Postbank Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.01.2011 (6)
  13. 40 Tan Postbank + falsche Links bei Google (u.a.)
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (25)
  14. 20 TAN Postbank Trojaner
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (29)
  15. Postbank TAN-Trojaner
    Log-Analyse und Auswertung - 18.11.2010 (10)
  16. Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (14)
  17. Trojaner manipuliert google?
    Plagegeister aller Art und deren Bekämpfung - 13.08.2006 (5)

Zum Thema trojaner manipuliert google (postbank tan usw) - hallo, ich habe seit ein paar tagen einen trojaner bei mir entdeckt. ich weiss es gibt hier schon ein paar einträge habe ich vorher geprüft in sachen postbank trojaner nur - trojaner manipuliert google (postbank tan usw)...
Archiv
Du betrachtest: trojaner manipuliert google (postbank tan usw) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.