Trojaner-Board - Benötige OTL-Log Auswertung nach Exploit.Drop.2-Befall

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Benötige OTL-Log Auswertung nach Exploit.Drop.2-Befall (https://www.trojaner-board.de/112616-benoetige-otl-log-auswertung-exploit-drop-2-befall.html)

Benötige OTL-Log Auswertung nach Exploit.Drop.2-Befall

Hallo miteinander,

ich hatte auf meinem Laptop einen Virenbefall (Malwarebytes hat den Exploit.Drop.2 4mal gefunden und Trojan.Spyeyes 3mal) und habe nach der Entferung mit Malwarebytes noch einen OTL-Scan gemacht. Ich kann die Log-File leider nicht selbst entziffern und bitte um Hilfe die Datei auszuwerten um zu wissen, ob das System wieder befreit ist.

Ich habe gelesen, dass dieser Virenbefall u.U. nur ein Benutzerprofil befällt. Ich habe im abgesicherten Modus im Admin-Profil ein Gast-Benutzerkonto erstellt, dieses im normalen Modus starten lassen und ich habe kein Fenster erhalten, dass mich zum Bezahlen auffordert. Dies war noch vor dem Malwarebytes-Scan.

Ich habe mich seitdem noch nicht in das befallene Profil eingeloggt und möchte das auch nicht tun bis die Log-File ausgewertet ist. Die Logfile habe ich aus dem Admin-Profil heraus erstellen lassen.

Ich bedanke mich schon mal herzlich für Eure Unterstützung! :dankeschoen:

Viele Grüße und einen schönen Abend
bbent

Dann boote mal in das infizierte Konto und sag mir ob das Fenster immer noch kommt.

Hi,

habe ich gemacht und ich bekam auch keine Aufforderung zum Zahlen. Das ist natürlich schon mal sehr gut.

Ich habe nun nochmal Malwarebytes gestartet und die Datenbank aktualisiert (konnte ich davor nicht, weil ich den abgesicherten Modus ohne Netzwerktreiber ausgewählt hatte) und lasse nochmal einen Scan durchlaufen. Er ist noch nicht weit, aber hat schon 2 infizierte Objekte gefunden.... Ich werde das komplette Ergebnis nach Abschluss des Scans posten.

Viele Grüße
bbent

Hi,

leider hat sich das Ding doch wieder während des Malwarebytes-Suchlaufs geöffnet. Ich habe den Laptop wieder runtergefahren.

Viele Grüße
bbent

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Starte den Rechner in den Normalmodus.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Trenne dich vom Internet.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi Daniel,

vielen Dank dass Du Dich meiner annimmst. Gerne poste ich alles wie von Dir angegeben, ich möchte Deine Zeit nicht mehr als nötig in Anspruch nehmen.

Eine Frage habe ich noch, bevor ich die von Dir genannten Schritte umsetze: aus welchem Benutzerprofil solch ich Combofix starten? Ich habe:

a) das Admin-Profil
b) normales Benutzer-Profil (infiziert)
c) normales Benutzer-Profil (nicht infiziert).

Aus b) wird sich das ja nicht starten lassen, soll ich deswegen lieber a) oder c) nehmen?

Nochmal herzlichen Dank und viele Grüße
bbent

Hi,

hier ist das Ergebnis von Combofix.

Code:

ComboFix 12-03-30.06 - *** 30.03.2012  22:40:20.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1256 [GMT 2:00]

ausgeführt von:: c:\users\***\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\***\4.0

c:\users\***\4.0

c:\users\***\AppData\Local\Skype\SkypePM.exe

c:\users\***\Documents\~WRD0003.tmp

c:\users\***\Documents\~WRL2626.tmp

c:\windows\IsUn0407.exe

c:\windows\system32\muzapp.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-30  ))))))))))))))))))))))))))))))

.

.

2012-03-30 20:48 . 2012-03-30 20:48        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-03-30 07:04 . 2012-03-30 07:04        40776        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2012-03-30 07:04 . 2012-03-30 07:04        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2012-03-29 17:30 . 2012-03-29 17:30        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2012-03-29 17:30 . 2012-03-29 17:30        --------        d-----w-        c:\programdata\Malwarebytes

2012-03-29 17:30 . 2012-03-29 17:30        --------        d-----w-        c:\program files\Malwarebytes Anti-Malware

2012-03-29 17:30 . 2011-12-10 13:24        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-03-29 17:24 . 2012-03-29 17:24        --------        d-----w-        c:\users\test

2012-03-28 19:27 . 2012-03-28 19:27        --------        d-----w-        c:\users\***\AppData\Roaming\Avira

2012-03-25 09:18 . 2012-03-25 09:18        --------        d-----w-        c:\program files\Conduit

2012-03-25 09:18 . 2012-03-25 09:22        --------        d-----w-        c:\users\***\AppData\Local\Conduit

2012-03-13 23:23 . 2012-02-02 15:16        2044416        ----a-w-        c:\windows\system32\win32k.sys

2012-03-13 23:23 . 2012-02-14 15:45        219648        ----a-w-        c:\windows\system32\d3d10_1core.dll

2012-03-13 23:23 . 2012-02-14 15:45        160768        ----a-w-        c:\windows\system32\d3d10_1.dll

2012-03-13 23:23 . 2012-02-13 14:12        1172480        ----a-w-        c:\windows\system32\d3d10warp.dll

2012-03-13 23:23 . 2012-02-13 13:47        683008        ----a-w-        c:\windows\system32\d2d1.dll

2012-03-13 23:23 . 2012-02-13 13:44        1068544        ----a-w-        c:\windows\system32\DWrite.dll

2012-03-13 23:23 . 2012-01-31 10:59        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat

2012-03-13 23:23 . 2012-01-09 15:54        613376        ----a-w-        c:\windows\system32\rdpencom.dll

2012-03-13 23:23 . 2012-01-09 13:58        180736        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-03-13 00:24 . 2010-02-18 13:30        200704        ----a-w-        c:\windows\system32\iphlpsvc.dll

2012-03-13 00:24 . 2010-02-18 11:28        25088        ----a-w-        c:\windows\system32\drivers\tunnel.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-01 22:55 . 2011-05-21 12:18        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2011-04-20 118784]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2009-05-26 92704]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-05-26 8530464]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-05-26 88608]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-6-22 739880]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2011-01-20 09:20        1305408        ----a-w-        c:\program files\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileServe Manager Task]

2011-06-20 16:41        954648        ----a-w-        c:\program files\FileServe Manager\FSStarter.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]

2011-06-09 16:52        940944        ----a-w-        c:\program files\Samsung\Kies\KiesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesPDLR]

2011-06-09 16:52        20880        ----a-w-        c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]

2011-06-09 16:52        3373968        ----a-w-        c:\program files\Samsung\Kies\KiesTrayAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProfilerU]

2010-07-29 10:53        227840        ----a-w-        c:\program files\Saitek\SD6\Software\ProfilerU.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiMfd]

2010-07-29 10:54        123392        ----a-w-        c:\program files\Saitek\SD6\Software\SaiMfd.exe

.

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-21 18:48]

.

2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-21 18:48]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Download with FileServe Manager - c:\program files\FileServe Manager\GetUrl.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.0.1

DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} - hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_IKEA_Win32.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

URLSearchHooks-{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - (no file)

AddRemove-ANNO 1602 Königs-Edition - c:\windows\IsUn0407.exe

AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe

AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe

AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe

AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe

AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe

AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe

AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe

AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe

AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe

AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe

AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe

AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-30 22:48

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-3649027393-1378797849-1756847203-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*X*v*EÁ0\OpenWithList]

@Class="Shell"

"a"="vlc.exe"

"MRUList"="a"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(4052)

c:\windows\system32\btmmhook.dll

.

Zeit der Fertigstellung: 2012-03-30  22:51:30

ComboFix-quarantined-files.txt  2012-03-30 20:51

.

Vor Suchlauf: 9 Verzeichnis(se), 30.325.739.520 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 31.257.825.280 Bytes frei

.

- - End Of File - - DBA0E87F85A49E7ECC07A30FF0FFCD0E

Viele Grüße
bbent

Geht der Normalmodus im anderem Konto wieder ?

Ja, es sieht erstmal gut aus. Ich bin bei aktivierter Internetverbindung seit einigen Minuten in dem Profil und bis jetzt ist dieses Fenster, das zum Zahlen auffordert, nicht aufgetaucht. Sollte sich das ändern, melde ich mich nochmal.

Hy,

Update bitte Malwarebytes und lass einen Quick Scan laufen. Lass alle Funde löschen und poste das Log hier.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi,

so, hier das Ergebnis von Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.31.09
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Admin :: VAIO [Administrator]
 

31.03.2012 18:42:00

mbam-log-2012-03-31 (18-42-00).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 215310

Laufzeit: 4 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Ich mache jetzt sofort den ESET Online Scan und poste das Ergebnis, sobald es mir vorliegt.

Viele Grüße
bbent

Guten Abend,

der ESET Online Scanner ist fertig und das ist das Ergebnis:

Code:

C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe        Win32/Adware.Toolbar.Dealio application

C:\Qoobox\Quarantine\C\Users\***\AppData\Local\Skype\SkypePM.exe.vir        Win32/LockScreen.AIG trojan

C:\Users\***\Downloads\vlc-1.1.9-win32.exe        Win32/StartPage.OIE trojan

C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\302UIKFI\main[1].htm        JS/Kryptik.KY trojan

C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\AQRN8XRW\ffe34a087c11632f83175c210a9faeb1[1].htm        HTML/Iframe.B.Gen virus

C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EFRI19VC\opentraff[1].htm        JS/Kryptik.KY trojan

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\266ccd56-68754d76        Java/Exploit.CVE-2012-0507.B trojan

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\8653497-5c0b7d7c        Java/Exploit.CVE-2012-0507.B trojan

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\12546f29-5171d04a        a variant of Java/Exploit.CVE-2012-0507.B trojan

C:\Users\***\Downloads\PDFCreator-1_2_3_setup.exe        Win32/Adware.Toolbar.Dealio application

D:\Video\Series\Storage Wars\Neuer Ordner\Storage_Wars_Texas_S01E08_The_Surgeon_478MB_The_Witch_And_The_Wardrobe.zip        a variant of Win32/Kryptik.ADDH trojan

Viele Grüße
bbent

Was den das ?

Storage_Wars_Texas_S01E08_The_Surgeon_478MB_The_Witch_And_The_Wardrobe.zip

Hi,

Storage Wars ist eine US-Serie.

Viele Grüße
bbent

Möchte nicht wissen, wo die her ist. Ich lege es dir Nahe, das Archiv zu löschen.

Noch Probleme ?

Hi,

ja, das werde ich tun.

Sollte ich dafür einen Aktenvernichter wie in Spybot enthalten benutzen oder einfach über den normalen Papierkorb?

Soll ich auch die anderen Scanergebnisse suchen und löschen?

Ansonsten läuft alles soweit ok.

Viele Grüße
bbent

Die Funde lösche ich dir.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:files

D:\Video\Series\Storage Wars\Neuer Ordner\Storage_Wars_Texas_S01E08_The_Surgeon_478MB_The_Witch_And_The_Wardrobe.zip

:commands

[emptytemp]

[emptyflash]

[emptyjava]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
Kopiere nun den Inhalt hier in Deinen Thread

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Hi Larusso,

ich hoffe, Du bekommst meine Nachricht noch bevor Du das Thema deabonnierst!

Ich hatte die letzten Tage leider so viel zu tun, dass ich noch nicht dazu gekommen bin. Morgen werde ich endlich Zeit dafür haben.

Vielen Dank nochmal für Deine Unterstützung!

Viele Grüße
bbent

Hi,

ich habe heute morgen wie von Dir beschrieben den OTL-Fix gestartet.

Die Desktopsymbole und die Taskleiste sind verschwunden. In dem Textfeld unten bei OTL steht:

[emptytemp]
[emptyflash]
[emptyjava]

und in der Statuszeile ganz unten: "Emptying Temp folders. DO NOT INTERRUPT...".

Die Befehle emptyflash und emptyjava sind glaube ich am Anfang ganz schnell durchgeführt worden. Der Status bzgl. der Temp folders hält jetzt allerdings schon ca. 4 h an.

Ist das normal oder hat sich das Programm aufgehangen? Und falls es sich aufgehangen hat: kann ich das Programm einfach beenden oder muss ich etwas besonderes beachten?

Viele Grüße
bbent

Hi,

es ist jetzt kurz vor drei und das dauert jetzt 6 Stunden. Ich habe versucht das Fenster zu verschieben um zu gucken, ob da noch irgendwie eine Reaktion kommt, aber so wie es aussieht hat sich der Laptop aufgehangen.

Kann ich den Laptop einfach ausmachen und neu starten oder soll ich versuchen das noch über den Task Manager zu schließen?

Viele Grüße
bbent

P.S.: Der Mauszeiger lässt sich allerdings noch bewegen.

Noch nie gehört.

Wenn nicht anders möglich, schalte den PC einfach aus, starte neu und sag mir, ob dir iwas auffällt :)

Hi,

über den Task-Manager konnte ich den Laptop nicht neu starten, musste den Power-Button gedrückt halten.

Ich bin jetzt wieder im Profil, allerdings ist diese Log-Datei nach dem Fix nicht auf dem Desktop vorhanden. In dem Verzeichnis C:\_OTL\MovedFiles\<time_date> findet sich jetzt die *.zip-Datei, die vorher auf D:\ lag. Eine *.txt-Datei liegt da allerdings nicht.

... etwas besonderes ist mir jetzt nicht eingefallen...? Sollte es was geben, das mir jetzt auffällt?

Soll ich vielleicht nochmal versuchen, OTL direkt aus dem Admin-Profil auszuführen und nicht nur mit Rechtsklick -> als Admin ausführen?

Kann ich den gleichen Fix-Code für OTL nochmal benutzen, auch wenn die *.zip-Datei bereits im C:\_OTL-Verzeichnis liegt oder muss ich diesen Teil dann auslassen und nur

:commands
[emptytemp]
[emptyflash]
[emptyjava]

einfügen? (Auf D: konnte ich die Datei jetzt auch nicht mehr finden)

Viele Grüße
bbent

Du brauchst garnichts mehr zu machen.

Noch Probleme ?

Hi,

muss ich wirklich nichts mehr machen? Das ZIP-Archiv erschien ja etwas zweifelhaft, liegt jetzt aber auf C:. Und soll das da liegen bleiben?

Dann sollte ich ja nochmal einen OTL-Scan machen, hier die Ergebnisse:

OTL.txt:

Code:

OTL logfile created on: 07.04.2012 12:36:29 - Run 2

OTL by OldTimer - Version 3.2.39.2     Folder = C:\Users\***\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,19 Gb Available Physical Memory | 59,78% Memory free

4,23 Gb Paging File | 3,43 Gb Available in Paging File | 81,11% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 96,17 Gb Total Space | 25,40 Gb Free Space | 26,41% Space Free | Partition Type: NTFS

Drive D: | 500,00 Gb Total Space | 269,84 Gb Free Space | 53,97% Space Free | Partition Type: NTFS

Drive E: | 1,17 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

 

Computer Name: VAIO | User Name: *** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Hotspot Shield\bin\openvpnas.exe ()

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)

PRC - C:\Programme\Hotspot Shield\bin\hsswd.exe ()

PRC - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)

PRC - C:\Programme\Apoint\ApMsgFwd.exe (Alps Electric Co., Ltd.)

PRC - C:\Programme\Apoint\ApntEx.exe (Alps Electric Co., Ltd.)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\Windows\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)

PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)

PRC - C:\Windows\System32\stacsv.exe (IDT, Inc.)

PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\WinRAR\RarExt.dll ()

MOD - C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll ()

MOD - C:\Windows\System32\btwhidcs.dll ()

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (SBSDWSCService) -- C:\Program Files\Spybot File not found

SRV - (FLEXnet Licensing Service) -- C:\Programme\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)

SRV - (HssTrayService) -- C:\Programme\Hotspot Shield\bin\HssTrayService.exe ()

SRV - (hshld) -- C:\Programme\Hotspot Shield\bin\openvpnas.exe ()

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)

SRV - (HssWd) -- C:\Programme\Hotspot Shield\bin\hsswd.exe ()

SRV - (HssSrv) -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SRV - (STacSV) -- C:\Windows\System32\stacsv.exe (IDT, Inc.)

SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found

DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found

DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found

DRV - (catchme) -- C:\Users\***\AppData\Local\Temp\catchme.sys File not found

DRV - (netr28u) -- C:\Windows\System32\drivers\netr28u.sys (Ralink Technology Corp.)

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)

DRV - (HssDrv) -- C:\Windows\System32\drivers\HssDrv.sys (AnchorFree Inc.)

DRV - (taphss) -- C:\Windows\System32\drivers\taphss.sys (AnchorFree Inc)

DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd)

DRV - (SNC) -- C:\Windows\System32\drivers\SonyNC.sys (Sony Corporation)

DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)

DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)

DRV - (ti21sony) -- C:\Windows\System32\drivers\ti21sony.sys (Texas Instruments)

DRV - (R5U870FLx86) -- C:\Windows\System32\drivers\R5U870FLx86.sys (Ricoh)

DRV - (R5U870FUx86) -- C:\Windows\System32\drivers\R5U870FUx86.sys (Ricoh)

DRV - (ssadmdm) -- C:\Windows\System32\drivers\ssadmdm.sys (MCCI Corporation)

DRV - (ssadbus) SAMSUNG Android USB Composite Device driver (WDM) -- C:\Windows\System32\drivers\ssadbus.sys (MCCI Corporation)

DRV - (ssadmdfl) SAMSUNG Android USB Modem (Filter) -- C:\Windows\System32\drivers\ssadmdfl.sys (MCCI Corporation)

DRV - (androidusb) -- C:\Windows\System32\drivers\ssadadb.sys (Google Inc)

DRV - (FlashUSB) -- C:\Windows\System32\drivers\FlashUSB.sys (Danish Wireless Design A/S)

DRV - (SaiNtBus) -- C:\Windows\System32\drivers\SaiBus.sys (Saitek)

DRV - (SaiMini) -- C:\Windows\System32\drivers\SaiMini.sys (Saitek)

DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (OXUDIDRV) -- C:\Windows\System32\drivers\OXUDIDRV_x32.sys ()

DRV - (VPPP) -- C:\Windows\System32\drivers\VPPP.sys (DrayTek, Corp.)

DRV - (ewusbnet) -- C:\Windows\System32\drivers\ewusbnet.sys (Huawei Technologies Co., Ltd.)

DRV - (hwdatacard) -- C:\Windows\System32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)

DRV - (hwusbdev) -- C:\Windows\System32\drivers\ewusbdev.sys (Huawei Technologies Co., Ltd.)

DRV - (OXSDIDRV_x32) Oxford Semi eSATA Filter (x32) -- C:\Windows\System32\drivers\OXSDIDRV_x32.sys ()

DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)

DRV - (NETw4v32) Intel(R) -- C:\Windows\System32\drivers\NETw4v32.sys (Intel Corporation)

DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D6 34 4E 07 4E 00 CC 01  [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1

IE - HKCU\..\SearchScopes,DefaultScope = {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = hxxp://www.daemon-search.com/search/web?q={searchTerms}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\***\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll File not found

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{9F6FB1C9-22DA-4123-A7D4-9E7844B60EE5}: C:\Program Files\FileServe Manager\FireFox_Extension\{9F6FB1C9-22DA-4123-A7D4-9E7844B60EE5} [2011.07.05 22:05:29 | 000,000,000 | ---D | M]

 

 

O1 HOSTS File: ([2012.03.30 22:48:23 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)

O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\Windows\System32\Macromed\Flash\FlashUtil11f_ActiveX.exe (Adobe Systems, Inc.)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O8 - Extra context menu item: Download with FileServe Manager - C:\Programme\FileServe Manager\GetUrl.htm ()

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)

O16 - DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_IKEA_Win32.cab (20-20 3D Viewer for IKEA)

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)

O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{086A49AF-803D-4037-9416-DD7962AB5B5B}: DhcpNameServer = 193.189.244.225 193.189.244.206

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5315EAB9-3C8E-4FC1-B53A-0BBE86AE878E}: DhcpNameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5BEDB0A4-B191-4F4E-A05A-31ED5E042E80}: DhcpNameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C166B013-6797-4156-A5BC-C1DA3388B224}: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img8.jpg

O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img8.jpg

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.04.06 09:55:14 | 000,000,000 | ---D | C] -- C:\_OTL

[2012.03.31 18:52:50 | 000,000,000 | ---D | C] -- C:\Program Files\ESET

[2012.03.30 22:51:32 | 000,000,000 | ---D | C] -- C:\Windows\temp

[2012.03.30 22:51:32 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\temp

[2012.03.30 22:49:27 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN

[2012.03.30 22:37:24 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe

[2012.03.30 22:37:24 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe

[2012.03.30 22:37:24 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe

[2012.03.30 22:37:19 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT

[2012.03.30 22:37:18 | 000,000,000 | ---D | C] -- C:\ComboFix

[2012.03.30 22:37:16 | 000,000,000 | ---D | C] -- C:\Qoobox

[2012.03.30 21:28:26 | 004,450,054 | R--- | C] (Swearware) -- C:\Users\***\Desktop\ComboFix.exe

[2012.03.29 20:31:47 | 000,593,920 | ---- | C] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe

[2012.03.29 19:30:20 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes

[2012.03.29 19:30:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware

[2012.03.29 19:30:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2012.03.29 19:30:07 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

[2012.03.29 19:30:07 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes Anti-Malware

[2012.03.28 21:27:01 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Avira

[2012.03.25 18:57:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN

[2012.03.25 11:18:33 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit

[2012.03.25 11:18:30 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Conduit

[2012.03.14 01:23:59 | 002,044,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys

[2012.03.14 01:23:58 | 001,172,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3d10warp.dll

[2012.03.14 01:23:58 | 001,068,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll

[2012.03.14 01:23:58 | 000,683,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d2d1.dll

[2012.03.14 01:23:58 | 000,219,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3d10_1core.dll

[2012.03.14 01:23:58 | 000,160,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3d10_1.dll

[2012.03.14 01:23:52 | 000,613,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpencom.dll

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.04.07 12:34:46 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2012.04.07 12:34:41 | 000,003,760 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

[2012.04.07 12:34:41 | 000,003,760 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0

[2012.04.07 12:34:34 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2012.04.07 12:34:32 | 2145,837,056 | -HS- | M] () -- C:\hiberfil.sys

[2012.04.06 23:44:52 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat

[2012.04.06 23:25:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2012.04.06 19:39:24 | 000,628,668 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2012.04.06 19:39:24 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2012.04.06 19:39:24 | 000,126,442 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2012.04.06 19:39:24 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[2012.03.30 22:56:32 | 000,221,091 | ---- | M] () -- C:\Users\***\AppData\Roaming\nvModes.001

[2012.03.30 22:48:23 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts

[2012.03.30 21:28:26 | 004,450,054 | R--- | M] (Swearware) -- C:\Users\***\Desktop\ComboFix.exe

[2012.03.29 20:42:25 | 000,015,293 | ---- | M] () -- C:\Users\Public\Documents\OTL_log.zip

[2012.03.29 20:42:25 | 000,015,293 | ---- | M] () -- C:\Users\***\Desktop\OTL_log.zip

[2012.03.29 19:58:53 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe

[2012.03.28 21:41:48 | 000,065,536 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012.03.25 18:57:41 | 000,000,859 | ---- | M] () -- C:\Users\Public\Desktop\VLC media player.lnk

[2012.03.14 04:19:35 | 000,254,296 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT

 
 ========== Files Created - No Company Name ==========

 

[2012.03.30 22:37:24 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe

[2012.03.30 22:37:24 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe

[2012.03.30 22:37:24 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe

[2012.03.30 22:37:24 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe

[2012.03.30 22:37:24 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe

[2012.03.30 19:19:58 | 2145,837,056 | -HS- | C] () -- C:\hiberfil.sys

[2012.03.29 20:43:00 | 000,015,293 | ---- | C] () -- C:\Users\Public\Documents\OTL_log.zip

[2012.03.29 20:42:25 | 000,015,293 | ---- | C] () -- C:\Users\***\Desktop\OTL_log.zip

[2012.03.25 18:57:41 | 000,000,859 | ---- | C] () -- C:\Users\Public\Desktop\VLC media player.lnk

[2012.01.05 22:30:01 | 000,014,119 | ---- | C] () -- C:\Windows\System32\RaCoInst.dat

[2011.10.30 02:28:56 | 000,024,880 | ---- | C] () -- C:\Windows\System32\drivers\OXUDIDRV_x32.sys

[2011.10.29 18:19:02 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI

[2011.08.28 22:35:39 | 000,000,000 | ---- | C] () -- C:\Windows\System32\cd.dat

[2011.06.07 11:13:38 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe

[2011.06.06 13:07:38 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll

[2011.04.21 17:55:17 | 000,065,536 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011.04.21 00:43:51 | 000,221,091 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.001

[2011.04.21 00:40:42 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat

[2011.04.21 00:34:37 | 000,221,091 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.dat

[2011.04.20 23:40:31 | 000,000,680 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat

[2011.03.08 14:41:04 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll

[2011.03.08 14:41:04 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll

[2011.03.08 14:41:04 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll

[2011.03.08 14:41:04 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll

 
 ========== Files - Unicode (All) ==========

[2012.01.15 17:24:28 | 001,408,722 | ---- | M] ()(C:\Users\***\Documents\??+042.jpg) -- C:\Users\***\Documents\사진+042.jpg

[2012.01.15 17:24:27 | 001,326,026 | ---- | M] ()(C:\Users\***\Documents\??+043.jpg) -- C:\Users\***\Documents\사진+043.jpg

[2012.01.15 17:24:25 | 001,552,956 | ---- | M] ()(C:\Users\***\Documents\??+041.jpg) -- C:\Users\***\Documents\사진+041.jpg

[2012.01.15 17:23:52 | 001,388,160 | ---- | M] ()(C:\Users\***\Documents\??+040.jpg) -- C:\Users\***\Documents\사진+040.jpg

[2012.01.15 17:22:12 | 001,366,894 | ---- | M] ()(C:\Users\***\Documents\??+039.jpg) -- C:\Users\***\Documents\사진+039.jpg

[2012.01.15 17:19:08 | 001,672,835 | ---- | M] ()(C:\Users\***\Documents\??+038.jpg) -- C:\Users\***\Documents\사진+038.jpg

[2012.01.15 17:17:58 | 001,326,026 | ---- | C] ()(C:\Users\***\Documents\??+043.jpg) -- C:\Users\***\Documents\사진+043.jpg

[2012.01.15 17:11:34 | 001,408,722 | ---- | C] ()(C:\Users\***\Documents\??+042.jpg) -- C:\Users\***\Documents\사진+042.jpg

[2012.01.15 17:10:58 | 001,552,956 | ---- | C] ()(C:\Users\***\Documents\??+041.jpg) -- C:\Users\***\Documents\사진+041.jpg

[2012.01.15 17:10:10 | 001,388,160 | ---- | C] ()(C:\Users\***\Documents\??+040.jpg) -- C:\Users\***\Documents\사진+040.jpg

[2012.01.15 17:09:29 | 001,366,894 | ---- | C] ()(C:\Users\***\Documents\??+039.jpg) -- C:\Users\***\Documents\사진+039.jpg

[2012.01.15 17:08:50 | 001,672,835 | ---- | C] ()(C:\Users\***\Documents\??+038.jpg) -- C:\Users\***\Documents\사진+038.jpg
 

< End of report >

Extras.txt:

Code:

OTL Extras logfile created on: 07.04.2012 12:36:29 - Run 2

OTL by OldTimer - Version 3.2.39.2     Folder = C:\Users\***\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,19 Gb Available Physical Memory | 59,78% Memory free

4,23 Gb Paging File | 3,43 Gb Available in Paging File | 81,11% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 96,17 Gb Total Space | 25,40 Gb Free Space | 26,41% Space Free | Partition Type: NTFS

Drive D: | 500,00 Gb Total Space | 269,84 Gb Free Space | 53,97% Space Free | Partition Type: NTFS

Drive E: | 1,17 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

 

Computer Name: VAIO | User Name: *** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

.html [@ = Opera.HTML] -- C:\Program Files\Opera\Opera.exe (Opera Software)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

helpfile [open] -- Reg Error: Key error.

hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)

htmlfile [edit] -- Reg Error: Key error.

https [open] -- "C:\Program Files\Opera\Opera.exe" "%1" (Opera Software)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval" = 1

"FirewallDisableNotify" = 0

"AntiVirusDisableNotify" = 0

"UpdatesDisableNotify" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusOverride" = 0

"AntiSpywareOverride" = 0

"FirewallOverride" = 0

"VistaSp1" = Reg Error: Unknown registry data type -- File not found

"VistaSp2" = Reg Error: Unknown registry data type -- File not found

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

 
 ========== Vista Active Open Ports Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{1C1D5C8F-58CE-4AAF-ADA7-C3CB273B7881}" = rport=139 | protocol=6 | dir=out | app=system | 

"{2015BDB0-B829-4924-B0ED-F6CA1244EA39}" = rport=137 | protocol=17 | dir=out | app=system | 

"{2D8F11A4-82F1-4CBC-A391-7C30D37B096C}" = rport=445 | protocol=6 | dir=out | app=system | 

"{30D4D2E5-BBEB-4FE7-A602-17280355FBA4}" = lport=8080 | protocol=6 | dir=in | name=vlc_remote | 

"{3E467D98-918B-44ED-BB18-C2D54C0E0CC9}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 

"{448B6725-3226-47FE-8E2A-5C36671BA96D}" = rport=138 | protocol=17 | dir=out | app=system | 

"{6903D5B9-55DE-4F76-8F90-CB63228F16F0}" = lport=139 | protocol=6 | dir=in | app=system | 

"{6D53CBDC-EE53-4CF4-9D56-E2F0FF5B0A15}" = lport=445 | protocol=6 | dir=in | app=system | 

"{86B1B1B8-3858-4B0F-9C31-A46E52853CAD}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 

"{B19D8B7B-BA51-4A92-A14B-B7C592451AFA}" = lport=138 | protocol=17 | dir=in | app=system | 

"{D6D64CF6-EF9C-4374-BCEF-093377394C71}" = lport=137 | protocol=17 | dir=in | app=system | 

 
 ========== Vista Active Application Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{1C799024-F71E-4C4E-8387-09FE40A85CF4}" = protocol=6 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{1FBA70D8-637F-4414-B380-7DB73BAC9D6D}" = protocol=17 | dir=in | app=c:\program files\vlc player\vlc.exe | 

"{2D3A7A22-A36F-4EEF-B70C-7B50842C2C13}" = protocol=6 | dir=out | app=c:\program files\rosetta stone\rosetta stone version 3\support\bin\win\rosettastoneltdservices.exe | 

"{3FA55A03-B29D-4354-A5F3-AB88EBC0CA5B}" = protocol=6 | dir=out | app=c:\program files\rosetta stone\rosetta stone version 3\rosettastoneversion3.exe | 

"{4011CBFC-C3DF-4DF7-BE27-4CAD58F38D3B}" = dir=in | app=c:\program files\rosetta stone\rosetta stone version 3\support\bin\win\rosettastoneltdservices.exe | 

"{408E781F-BDBB-43FA-8036-FB7BA47B3542}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 

"{4C64333C-68A0-4BB8-AA50-B1F2751D15F4}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 

"{77E7AE57-43F2-438C-B8BD-627514DC96E4}" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 

"{843286E2-9683-4A04-9964-98C45BD72544}" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 

"{8D220E48-655A-4EA2-B1DA-EDFF37F71CF5}" = protocol=17 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{9015AF26-8012-401B-83D0-014203B68571}" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe | 

"{9406941A-D84E-4817-BF0A-07E8051E98A4}" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe | 

"{971683D5-758B-4F8E-BFF2-6DC912DE2A30}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 

"{9DAAF1F3-D52B-468C-87E5-D2BCD870721C}" = dir=in | app=c:\program files\rosetta stone\rosetta stone version 3\rosettastoneversion3.exe | 

"{AEECEA13-5963-47FE-A6AB-E2928F945031}" = protocol=6 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{BB1385C0-9261-4523-A9E4-2E2D20248609}" = protocol=6 | dir=in | app=c:\program files\vlc player\vlc.exe | 

"{CD13F984-4859-448B-9A0F-9960BFAD37CD}" = protocol=17 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{DAE03BBC-00D5-44DF-97B6-6EDB25623460}" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe | 

"{E0DB9453-EC03-4306-8F21-91921358481C}" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe | 

"{EB17ED98-97C4-441E-85A4-F2A1BE21460D}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 

"TCP Query User{106DB119-5770-4D23-A2D6-72D7E223EC8C}C:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=6 | dir=in | app=c:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 

"TCP Query User{1896FD84-C9DF-4769-A03C-115F3CFF1135}C:\program files\vlc player\vlc.exe" = protocol=6 | dir=in | app=c:\program files\vlc player\vlc.exe | 

"TCP Query User{311B836F-9D1D-4DAE-9765-5C47B74D1826}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 

"TCP Query User{692CDF23-4CE7-4ECD-A58C-C594F73A734F}C:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=6 | dir=in | app=c:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 

"TCP Query User{6BF438F6-459C-4428-AD6F-7DBA519CC52B}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 

"TCP Query User{73EDD9AE-E22C-43E0-8C1F-D9D11B18B0EB}C:\windows\system32\dplaysvr.exe" = protocol=6 | dir=in | app=c:\windows\system32\dplaysvr.exe | 

"TCP Query User{7CC60457-1484-4DDA-B121-752E6CE1EE08}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 

"TCP Query User{C7A6AFCE-0EBA-4B68-AD85-6D25FFD8F232}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 

"TCP Query User{D42C5E49-90D7-4E4E-A53B-547723CC3F6E}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 

"TCP Query User{D4F4871E-126D-4143-8E07-B3F7B2D4EE22}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 

"TCP Query User{DB3A6D79-754C-4E0A-A769-2037732F5A7F}D:\spiele\anno 1602 königsedition\1602.exe" = protocol=6 | dir=in | app=d:\spiele\anno 1602 königsedition\1602.exe | 

"TCP Query User{FDF641B7-480D-4CD0-BED1-2F484FDBDE88}D:\spiele\die gilde 2\guildii.exe" = protocol=6 | dir=in | app=d:\spiele\die gilde 2\guildii.exe | 

"UDP Query User{15758E4B-5105-415E-B380-D16138DE6F42}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 

"UDP Query User{157D77FB-6210-40CC-9F16-5AA5079A3E15}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 

"UDP Query User{2B6649CE-0242-43ED-9B9A-D6B80C721552}C:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=17 | dir=in | app=c:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 

"UDP Query User{2EAE2FE2-C0F8-4076-A24B-6AB25DD06DF5}D:\spiele\anno 1602 königsedition\1602.exe" = protocol=17 | dir=in | app=d:\spiele\anno 1602 königsedition\1602.exe | 

"UDP Query User{5B311D4F-F5F1-40D0-8938-91BAFD264A12}C:\windows\system32\dplaysvr.exe" = protocol=17 | dir=in | app=c:\windows\system32\dplaysvr.exe | 

"UDP Query User{7263A4AF-C8A0-4084-B8E8-FA891BEAC823}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 

"UDP Query User{AAB59F71-44ED-4D9D-9130-8B5F39EF43D0}C:\program files\vlc player\vlc.exe" = protocol=17 | dir=in | app=c:\program files\vlc player\vlc.exe | 

"UDP Query User{B4464FBA-D0EF-4E4E-ABF5-26FE167CF50C}C:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=17 | dir=in | app=c:\users\***\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 

"UDP Query User{BED81349-97FF-42CC-A04E-60DBCC6F731E}D:\spiele\die gilde 2\guildii.exe" = protocol=17 | dir=in | app=d:\spiele\die gilde 2\guildii.exe | 

"UDP Query User{BF0F340A-B2A4-4590-BB5D-3C2CA9DE5077}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 

"UDP Query User{F50DD23D-6236-489A-AFE7-A1DAD0A8657E}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 

"UDP Query User{F73E75F6-2182-43CD-90A0-625766C0AA6D}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator

"{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = WIDCOMM Bluetooth Software 6.1.0.1203

"{04FCD5DE-1662-4F99-BDA9-C57212113EF2}" = RemoteComms External Disk Access

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{07D8511D-C9FE-4A93-933F-EAA5C8F20095}" = IDT Audio

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 30

"{28DA7D8B-F9A4-4F18-8AA0-551B1E084D0D}" = Ralink RT2870 Wireless LAN Card

"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{5A07D8BC-C982-43B3-B24F-6FD8D6E89F02}_is1" = FileServe Manager 1.0.0.3024

"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth

"{71828142-5A24-4BD0-97E7-976DA08CE6CF}" = Die Sims™ 3 Luxus-Accessoires

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies

"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system

"{91130407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Basic Edition 2003

"{93ABEBEB-EEE0-4AB9-A925-2F2EC791A4CE}" = Smart Technology Programming Software 7.0.2.7

"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer

"{99011A6E-5200-11DE-BDB8-7ACD56D89593}" = Rosetta Stone Version 3

"{9CF4A37B-A8C4-44D7-8C53-13B9D9594BB2}" = Paint.NET v3.5.8

"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Alps Pointing-device for VAIO

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{B8A37E68-5AC8-45A6-A037-753EF47836C5}" = Iomega Encryption

"{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}" = Die Sims™ 3

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones

"{DDEDAF6C-488E-4CDA-8276-1CCF5F3C5C32}" = Command & Conquer 3

"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime

"1489-3350-5074-6281" = JDownloader 0.9

"6103-4188-8184-5707" = RapidShare Manager 2

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_104D0200" = HDAUDIO SoftV92 Data Fax Modem with SmartCP

"DAEMON Tools Lite" = DAEMON Tools Lite

"DrayTek Smart VPN Client" = DrayTek Smart VPN Client

"ESET Online Scanner" = ESET Online Scanner v3

"HotspotShield" = Hotspot Shield 2.06

"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies

"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile

"Mobile Partner" = Mobile Partner

"NVIDIA Drivers" = NVIDIA Drivers

"Opera 11.62.1347" = Opera 11.62

"SystemRequirementsLab" = System Requirements Lab

"TheGuild2" = Die Gilde 2

"VLC media player" = VLC media player 2.0.1

"WinRAR archiver" = WinRAR 4.00 (32-bit)

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"MyFreeCodec" = MyFreeCodec

"UnityWebPlayer" = Unity Web Player

 
 ========== Last 10 Event Log Errors ==========

 

Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!

 

< End of report >

Viele Grüße
bbent

In Quarantäne von OTL ;)

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 31 ) herunter laden.
Eventuelle Toolsbars abhaken !!!
Wenn die installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.

Wenn es keine weiteren Probleme mehr gibt, sind wir hier fertig. Bitte folge den letzten paar Schritten.

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher, immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Eine out of date Anti Virensoftware ist nutzlos!

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi Larusso,

vielen, vielen Dank für Deine ausführlichen Hinweise.

Ich habe die neue Java-Version installiert, allerdings gab es in der Systemsteuerung keine älteren Versionen, die ich hätte deinstallieren können.

Das mit dem Acrobat Reader hat problemlos geklappt.

Den Befehl zum Deinstallieren von Combofix hat er nicht angenommen. Nachdem ich den Befehl mit OK bestätigt habe, kommt ein Fenster: "Combofix konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.". Dabei lag die ComboFix.exe aber auf dem Desktop.

Ich habe dann schon mal den "Bereinigen"-Button von OTL gedrückt. Es wurde ein Neustart verlangt und danach war die die Combofix.exe vom Desktop verschwunden...

Heißt das was oder kann ich das als abgeschlossen ansehen?

Und zum Abschluss nochmal herzlichen Dank für die nützlichen Tipps und Hinweise und vor allen Dingen für Deine Zeit! Ist schon echt klasse so eine Hilfe zu bekommen!

Ich wünsche noch ein schönes Osterwochende und viele Grüße
bbent

Lass bitte folgendes noch laufen.

Downloade dir bitte CF_UNINST.exe und speichere diese auf deinem Desktop.

Starte die CF_UNINST.exe
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Folge den Anweisungen auf dem Desktop.
Wenn das Tool fertig ist sollte sich ein Fenster mit folgendem Inhalt öffnen: Done

Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen