Gozi online Banking gesperrt

PKD1974 · 04.02.2011, 18:38

Hallo zusammen,

meine Freundin bekam heute einen Brief Ihrer Bank, indem mitgeteilt wurde, dass sich der Tronjaner "Gozi" auf Ihrem Rechner befindet. Da wir jedoch zwei Rechner haben, habe ich jetzt erstmal Antivir laufen lassen und anur auf einem Rechner einen Fund gehabt:

G:\iTunes\Automatisch zu iTunes hinzufügen\Duffy - Delayed Devotion.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.Wimad.B.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db235e5.qua' verschoben!
G:\iTunes\Automatisch zu iTunes hinzufügen\Duffy - Don't Forsake Me.mp3
[FUND] Ist das Trojanische Pferd TR/Dldr.Wimad.B.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc5536e.qua' verschoben!

Einen Trojaner namens Gozi wurde nicht gefunden.

Da ich das meiste was ich hier lese kaum verstehe, brauche ich wirklich verständliche Hilfe.

Schonmal im Vorraus vielen Dank

Der Suchlauf mit Antivir hat beim 2ten Rechner keine Ergebnisse gebracht, dafür popt ein Fenster auf mit Achtung Fund!
-> C:\WINDOWS\system32\DivXner.dll
enthält ein Erkennungsmuster BDS/Papras.56320

Angehängt habe ich die OTL Dateien beider Rechner.

Hier erstmal Rechner 1

UNd Rechner 2

Sorry, beim 2ten geht das nur so:

Code:

ATTFilter

 
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
510,00 Mb Total Physical Memory | 197,00 Mb Available Physical Memory | 39,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 55,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 67,28 Gb Total Space | 43,22 Gb Free Space | 64,24% Space Free | Partition Type: NTFS
 
Computer Name:xxx| User Name: xxx| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.01.26 19:36:40 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.12.21 22:05:43 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.12.21 11:15:34 | 001,224,304 | ---- | M] () -- C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe
PRC - [2010.05.14 11:44:46 | 000,501,480 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.01 21:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.01.26 15:31:12 | 005,365,592 | RHS- | M] (Safer Networking Limited) -- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
PRC - [2008.12.05 15:11:54 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.08.03 16:29:28 | 000,068,856 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2007.07.31 17:11:06 | 000,106,496 | ---- | M] (Apple, Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2006.10.22 22:29:48 | 000,014,456 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
PRC - [2005.08.18 09:33:26 | 001,933,312 | ---- | M] () -- C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
PRC - [2005.05.28 07:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\Samsung\Samsung Network Manager\SNMWLANService.exe
PRC - [2003.06.19 22:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
PRC - [2002.09.20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.01.26 19:36:40 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.06.01 21:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.12.05 15:11:54 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008.05.02 02:42:06 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007.07.31 17:11:06 | 000,106,496 | ---- | M] (Apple, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2006.07.21 08:51:38 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2005.05.28 07:35:56 | 000,036,864 | R--- | M] () [Auto | Running] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 22:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
SRV - [2002.09.20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.07 21:35:34 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.02.29 03:13:46 | 000,028,944 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2008.02.29 03:13:24 | 000,036,880 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008.02.29 03:13:16 | 000,035,344 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2006.05.15 14:35:36 | 000,061,600 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SE27bus.sys -- (SE27bus) Sony Ericsson Device 039 Driver driver (WDM)
DRV - [2006.05.01 11:48:04 | 000,061,600 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SE26bus.sys -- (SE26bus) Sony Ericsson Device 038 Driver driver (WDM)
DRV - [2005.07.13 10:58:18 | 000,463,296 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.06.28 15:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.06.10 19:52:00 | 000,027,648 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3grumdm.sys -- (G3GRUMDM)
DRV - [2005.06.10 19:52:00 | 000,024,064 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3gruser.sys -- (G3GRUSER)
DRV - [2005.06.10 19:52:00 | 000,018,688 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g3grsc.sys -- (G3GRSC)
DRV - [2005.06.08 15:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter)
DRV - [2005.04.30 15:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2005.04.18 21:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\risdptsk.sys -- (risdptsk)
DRV - [2005.03.04 04:02:20 | 001,066,278 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005.02.02 03:58:58 | 000,191,456 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2004.12.06 14:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rimsptsk.sys -- (rimsptsk)
DRV - [2004.12.05 20:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rixdptsk.sys -- (rismxdp)
DRV - [2004.05.26 07:18:18 | 000,044,928 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
DRV - [2004.05.18 06:43:58 | 000,043,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\RITCPT.SYS -- (RITCPT)
DRV - [2004.05.18 06:43:54 | 000,005,088 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\FBAPI.sys -- (FBAPI)
DRV - [2000.08.23 17:19:38 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://google.icq.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.06.14 19:24:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.21 22:05:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.30 15:43:06 | 000,000,000 | ---D | M]
 
[2010.08.28 16:09:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Extensions
[2011.02.04 19:07:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions
[2010.08.29 10:38:50 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.30 15:44:30 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.08.28 16:09:37 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icq-search.xml
[2010.12.21 22:06:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin-1.xml
[2008.03.31 08:52:00 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.gif
[2008.03.31 08:52:00 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.src
[2010.12.06 22:02:30 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\Mozilla\Firefox\Profiles\41qxljbe.default\searchplugins\icqplugin.xml
[2011.02.04 19:07:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.01.21 15:49:51 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.07.27 20:51:31 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.30 15:43:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.30 15:42:41 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.01.30 15:42:39 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2007.07.31 17:44:28 | 000,069,632 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npitunes.dll
[2006.07.31 15:07:16 | 000,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2010.12.06 22:01:59 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.06 22:01:59 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.06 22:01:59 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.06 22:01:59 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.06 22:01:59 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.26 17:06:28 | 000,429,283 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 14778 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.08.30 09:33:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell - "" = AutoRun
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d12eba88-f4bf-11de-85d9-001500224399}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: drwtvaws - (C:\WINDOWS\system32\DivXnsvr.dll) - C:\WINDOWS\system32\DivXnsvr.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.04 17:21:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.01.30 15:45:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2011.01.30 15:43:06 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.01.30 15:43:06 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.01.30 15:43:06 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.01.30 15:43:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.01.30 15:43:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.01.26 16:50:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.01.05 20:04:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Steuer-Sparbuch
[2011.01.05 19:51:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Mein Steuer-Sparbuch Heute
[7 C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.04 19:16:15 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.04 19:16:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.04 17:11:33 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.04 17:08:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.30 15:42:38 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.01.30 15:42:38 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.01.30 15:42:38 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.01.30 15:42:38 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.01.30 15:42:37 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.01.30 03:59:40 | 000,609,792 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.07.2010.doc
[2011.01.27 10:52:09 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.01.27 10:44:18 | 000,056,320 | ---- | M] () -- C:\WINDOWS\System32\DivXnsvr.dll
[2011.01.26 18:51:03 | 000,000,431 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics
[2011.01.26 17:06:28 | 000,429,283 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.01.26 16:50:59 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Spybot - Search & Destroy.lnk
[2011.01.17 22:15:22 | 000,607,744 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Aktuelle Familiensituation Schulten, 17.01.2010.doc
[2011.01.16 15:37:35 | 000,144,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Wochenplan v. Skrodzky, Januar 2011.doc
[2011.01.16 13:56:38 | 000,614,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.01.2011.doc
[2011.01.16 13:15:50 | 000,612,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB von Skrodzky, 11.01.2011.doc
[2011.01.10 20:38:36 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Piechatzek aktuell HPB.doc
[2011.01.07 18:56:47 | 000,000,630 | ---- | M] () -- C:\WINDOWS\wiso.ini
[7 C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Desktop\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.27 10:44:18 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\DivXnsvr.dll
[2011.01.26 16:50:59 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Spybot - Search & Destroy.lnk
[2011.01.17 22:15:21 | 000,607,744 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Aktuelle Familiensituation Schulten, 17.01.2010.doc
[2011.01.16 14:02:41 | 000,144,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Wochenplan v. Skrodzky, Januar 2011.doc
[2011.01.16 13:56:38 | 000,614,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB Piechatzek, 13.01.2011.doc
[2011.01.16 13:15:49 | 000,612,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\HB von Skrodzky, 11.01.2011.doc
[2011.01.10 20:38:36 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Desktop\Piechatzek aktuell HPB.doc
[2011.01.05 19:13:00 | 000,001,164 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\crc32list11.txt
[2010.04.18 00:30:30 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010.02.05 21:46:27 | 000,000,630 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2009.10.05 11:40:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2009.08.30 13:54:38 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2009.08.30 13:43:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2009.05.31 15:21:59 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2007.08.04 17:54:44 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2007.04.30 09:12:44 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.04.30 09:12:44 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2006.10.21 10:24:22 | 000,013,569 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2006.08.20 19:21:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.03.10 17:24:07 | 000,000,153 | ---- | C] () -- C:\WINDOWS\disney.ini
[2006.03.09 20:20:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.01.24 19:08:29 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.01.11 18:50:47 | 000,050,688 | ---- | C] () -- C:\Dokumente und Einstellungen\Saturn\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.01.11 17:59:18 | 000,001,543 | ---- | C] () -- C:\WINDOWS\System32\Saturn_KBD.ini
[2006.01.11 17:58:27 | 000,001,543 | ---- | C] () -- C:\WINDOWS\System32\Kunde_KBD.ini
[2005.10.18 14:08:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.09.03 14:38:37 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2005.08.30 18:19:29 | 000,000,638 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.08.30 10:25:24 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.08.30 09:44:34 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2005.08.30 09:44:32 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2005.08.30 09:44:32 | 000,002,700 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2005.08.30 09:44:32 | 000,002,596 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2005.08.30 09:44:32 | 000,002,554 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2005.08.30 09:44:32 | 000,002,461 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2005.08.30 09:44:32 | 000,002,237 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2005.08.30 09:44:32 | 000,001,886 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2005.08.30 09:44:32 | 000,001,820 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2005.08.30 09:44:32 | 000,001,811 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2005.08.30 09:44:32 | 000,001,690 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2005.08.30 09:44:32 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2005.08.30 09:44:32 | 000,001,332 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2005.08.30 09:44:31 | 000,001,690 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2005.08.30 09:44:26 | 000,043,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\RITCPT.SYS
[2005.08.30 09:44:16 | 000,005,088 | ---- | C] () -- C:\WINDOWS\System32\drivers\FBAPI.sys
[2005.08.30 09:43:12 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2005.08.12 22:57:09 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2005.07.08 18:21:48 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\AVS3_Resource.dll
[2005.06.08 15:58:10 | 000,017,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys
[2005.06.08 15:58:08 | 000,035,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWXT_kern_i386.sys
[2005.06.08 15:58:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.10.15 23:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2002.10.06 19:42:58 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.10.05 00:04:26 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002.10.05 00:04:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.10.05 00:04:18 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.04.19 16:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002.04.19 15:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2001.06.22 13:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
 
< End of report >

Hier das MBAM Log des 2. Rechners:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5677

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 20:59:26
mbam-log-2011-02-04 (20-59-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 218413
Laufzeit: 1 Stunde(n), 17 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg · 05.02.2011, 14:39

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: drwtvaws - (C:\WINDOWS\system32\DivXnsvr.dll) - C:\WINDOWS\system32\DivXnsvr.dll ()
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

PKD1974 · 05.02.2011, 15:16

Wow, das ging schnell mit der Antwort

Soll ich das bei beiden Rechnern laufen lassen, oder sollte ich pro Rechner einen zweiten tread erstellen, sorry das ich mich so blöd anstelle..

markusg · 05.02.2011, 15:35

das otl log ist doch von rechner 1 wenn ich der datei beschreibung glauben darf. also kümmern wir uns um den.

PKD1974 · 05.02.2011, 17:14

Hi Markus,

war der falsche Rechner. Da aus meinen 4 Beiträgen einer gemacht wurde ist das nun sehr unübersichtlich.

Dennoch hier das Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\drwtvaws not found.
File C:\WINDOWS\system32\DivXnsvr.dll not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: LocalService
->Flash cache emptied: 456 bytes

User: NetworkService

User: Patrick
->Flash cache emptied: 2068795 bytes

Total Flash Files Cleaned = 2,00 mb

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 457837 bytes

User: Patrick
->Temp folder emptied: 14178280 bytes
->Temporary Internet Files folder emptied: 6256013 bytes
->Java cache emptied: 1221987 bytes
->FireFox cache emptied: 103838303 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3789025 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 126,00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 02052011_163204

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Das des anderen Rechners kommt im nächsten Beitrag, obwohl ich leider sagen muss, dass Antivir das Ding verschoben hat....

Mit freudlichen Grüßen
PKD

markusg · 05.02.2011, 17:17

dann kannst du es dir sparen.
so auf jeden fall muss der rechner auf dem der gozi trojaner ist neu aufgesetzt werden, also der, auf dem sich diese dll befunden hatt.
1. daten sichern.
2. zurückmelden und bescheid geben, dann gibts weitere anleitung zum neu aufsetzen und absichern.

PKD1974 · 05.02.2011, 17:30

OK, heißt das dass BDS/Papras.56320 der Trojaner ist?

markusg · 05.02.2011, 17:32

ja, solche trojaner können aber weitreichende enderungen am system machen, dieses system ist erst dann wieder zum onlinebanking zu gebrauchen wenn es garantiert sauber ist, und das ist erst nach neu aufsetzen der fall.
vor allem muss man bedenken, wenn uns hier ein fehler unterläuft und es kommt geld weg vom konto, die bank findet raus das ihr nicht angemessen reagiert habt, durch formatieren, ist das evtl. fahrlässig und ihr seht, wenn ihr pech habt, das geld nicht wieder.

PKD1974 · 05.02.2011, 17:45

Gut, das muss ich dann morgen machen

Aber wenn es nicht anders geht, dann halt so, ist sowieso schon eine Ewigkeit nicht neu aufgesetzt worden.

Aber was ist mit dem anderen Rechner, ist der clean, oder sollte ich den auch neu aufsetzen?

markusg · 05.02.2011, 18:01

auf rechner 2 gibts ebenfalls solch einen eintrag, der könnte also auch mit neu aufgesetzt werden.

PKD1974 · 05.02.2011, 18:16

So ein Mist, das wird eine Ewigkeit dauern bis ich die ganzen CDs gefunden habe, wenn ich die überhaupt finde....

markusg · 05.02.2011, 18:18

naja das wichtigste wäre windows. drivers finden wir im netz, musst nur mal bescheid geben, dann müssen wir deine hardware prüfen um zu schauen was benötigt wird.
deswegen wirst du in zukunft ein backup programm nutzen, dann, wie gesagt, dauert das saubere zurücksetzen nur 5 minuten bis vllt 10.

PKD1974 · 05.02.2011, 21:14

Ich habe eine System-Wiederherstellungs-CD gefunden.

Klappt das damit?

markusg · 06.02.2011, 12:10

ja, damit klappts, da sind auch meist alle treiber mit drauf.
http://www.trojaner-board.de/96344-a...-rechners.html

PKD1974 · 06.02.2011, 13:41

Moin,

soweit klar für den Lap Top, der hat nur eine Festplatte, die nicht partizipert ist (heißt doch so?).

Der Desktop PC hat 2 Festplatten, wovon eine patizipert ist

C: Hauptplatte mit Windows
D: Stauraum

Kann ich nur C: formatieren.

05.02.2011, 17:17	#6
markusg /// Malware-holic	Gozi online Banking gesperrt dann kannst du es dir sparen. so auf jeden fall muss der rechner auf dem der gozi trojaner ist neu aufgesetzt werden, also der, auf dem sich diese dll befunden hatt. 1. daten sichern. 2. zurückmelden und bescheid geben, dann gibts weitere anleitung zum neu aufsetzen und absichern. __________________ --> Gozi online Banking gesperrt

Gozi online Banking gesperrt

Plagegeister aller Art und deren Bekämpfung: Gozi online Banking gesperrt