Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus mit erpresserischem Inhalt - brauche dringend hilfe ! (https://www.trojaner-board.de/97694-virus-erpresserischem-inhalt-brauche-dringend-hilfe.html)

cindyM 19.04.2011 13:09
Virus mit erpresserischem Inhalt - brauche dringend hilfe !
 
Hallo !

Vor 2 Tagen kam abends wie aus dem nichts plötzlich auf meinem anderen PC ein Vollbild mit erpresserischem Inhalt wie z.B ich solle in den nächsten 24 Stunden 100 euro zahlen sont wird meine festplatte gelöscht und soweiter
ich habe natürlich nicht gezahlt und habe auch erkannt das das ein virus war.
Ich habe gestern mal versucht den Virus mit ner Avira CD zu bekämpfen aber irgendwie habe ich das nicht so ganz begriffen was ich denn genau tun sollte
kann mir vill irgendwer weiter helfen wie man den Virus weg bekommen kann?:heulen::heulen:
Ich wäre denjenigen sehr dankbar!

Liebe Grüße Cindy

markusg 19.04.2011 14:07
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

cindyM 20.04.2011 10:35
Hallo,
leider hat das nicht so geklappt, wie du das hier beschrieben hast. Nach dem Doppelkick auf das OTLPE Icon ging für einen sekundenbrucjteil ein schwarzes Fenster auf und dann ein weiteres, wo ich dann aber nach dem Computer und versch. Ordnern gefragt wurde. Egal welche ich angeklickt habe, jedesmal war das System nicht Windows 2000 oder höher.
Was hab´ ich falsch gemacht?

Danke im Vorraus, Cindy

markusg 20.04.2011 10:41
öffne dort mal arbeitsplatz, bzw computer. dann die festplatte auf der windows instaliert ist, meist c: und dort auf den windows ordner klicken, dann sollte es gehen

cindyM 20.04.2011 10:45
Danke sehr, hat geklappt!

Liebe Grüße, Cindy

cindyM 20.04.2011 10:51
Noch eine Frage:
Wenn ich die Daten auf USB Stick gespeichert habe, wie geht es dann weiter? Tut mir leid, dass ich so viel frage, aber ich hab so gar keine Ahnung. Ist der Virus jetzt isoliert, oder muss ich noch etwas machen?

Danke für die Geduld und deine Hilfe.
Cindy

cindyM 20.04.2011 11:18
So, das kam bei dem Scan heraus:OTL Logfile:
Code:
OTL logfile created on: 4/20/2011 1:44:48 PM - Run
OTLPE by OldTimer - Version 3.1.46.0    Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium  (Version = 6.0.6000) - Type = System
Internet Explorer (Version = 8.0.6001.18904)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 92.21 Gb Total Space | 25.82 Gb Free Space | 28.00% Space Free | Partition Type: NTFS
Drive D: | 45.12 Gb Total Space | 45.04 Gb Free Space | 99.81% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (NLCSAgent)
SRV - File not found [Auto] --  -- (CLTNetCnService)
SRV - [2011/03/20 12:50:37 | 000,028,762 | ---- | M] (MyWebSearch.com) [Auto] -- C:\Program Files\MyWebSearch\bar\2.bin\MWSSVC.EXE -- (MyWebSearchService)
SRV - [2010/05/20 09:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2008/10/25 07:54:09 | 000,068,865 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)
SRV - [2008/10/25 07:54:06 | 000,151,297 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)
SRV - [2008/02/25 20:13:42 | 000,265,912 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2006/12/08 05:52:04 | 000,204,800 | ---- | M] (Fujitsu Siemens Computers) [Auto] -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2006/11/17 15:45:26 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2006/10/04 15:36:26 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto] -- C:\Program Files\Common Files\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2010/05/20 09:27:24 | 000,030,576 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nx6000.sys -- (MSHUSBVideo)
DRV - [2009/05/31 16:54:37 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/05/31 16:54:24 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand] -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)
DRV - [2009/05/31 16:54:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)
DRV - [2009/03/25 11:48:00 | 000,114,728 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018mdm.sys -- (s1018mdm)
DRV - [2009/03/25 11:48:00 | 000,109,864 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM)
DRV - [2009/03/25 11:48:00 | 000,106,208 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM)
DRV - [2009/03/25 11:48:00 | 000,104,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018obex.sys -- (s1018obex)
DRV - [2009/03/25 11:48:00 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM)
DRV - [2009/03/25 11:48:00 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS)
DRV - [2009/03/25 11:48:00 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s1018mdfl.sys -- (s1018mdfl)
DRV - [2009/01/19 14:31:56 | 000,277,544 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\Windows\System32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2008/08/18 04:00:00 | 000,371,248 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2008/08/18 04:00:00 | 000,099,376 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2008/05/16 05:33:14 | 000,115,752 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016unic.sys -- (s0016unic) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM)
DRV - [2008/05/16 05:33:14 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016nd5.sys -- (s0016nd5) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS)
DRV - [2008/05/16 05:33:14 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016mdfl.sys -- (s0016mdfl)
DRV - [2008/05/16 05:33:12 | 000,120,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016mdm.sys -- (s0016mdm)
DRV - [2008/05/16 05:33:12 | 000,114,216 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016mgmt.sys -- (s0016mgmt) Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM)
DRV - [2008/05/16 05:33:12 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016obex.sys -- (s0016obex)
DRV - [2008/05/16 05:33:12 | 000,089,256 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\s0016bus.sys -- (s0016bus) Sony Ericsson Device 0016 driver (WDM)
DRV - [2007/11/08 13:03:26 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007/08/03 04:44:58 | 000,091,648 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2007/07/02 11:37:10 | 000,131,616 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\nvrd32.sys -- (nvrd32)
DRV - [2007/07/02 11:37:08 | 000,110,112 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007/06/18 12:03:32 | 000,737,280 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2007/06/13 17:47:12 | 000,048,256 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled] -- C:\Windows\system32\drivers\jraid.sys -- (JRAID)
DRV - [2006/10/04 03:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Program Files\Common Files\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
DRV - [2005/08/02 10:10:14 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand] -- C:\Windows\System32\drivers\npf.sys -- (NPF)
DRV - [2003/04/28 06:27:06 | 000,009,867 | ---- | M] () [Kernel | System] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook: {a51a36e6-31e7-4838-9ff7-76298b527ec0} - C:\Program Files\softonic-Germany\tbsoft.dll (Conduit Ltd.)
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Google Toolbar
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Prev Search Page = ICQ.com Suche
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = schuelerVZ | Bist du schon drin?
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 50 CE 51 CD BF 1D CA 01  [binary data]
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Toolbar
IE - HKU\Cindy_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Toolbar
IE - HKU\Cindy_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Cindy_ON_C\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\2.bin\MWSSRCAS.DLL (MyWebSearch.com)
IE - HKU\Cindy_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (IE Toolbar)
IE - HKU\Cindy_ON_C\..\URLSearchHook: {a51a36e6-31e7-4838-9ff7-76298b527ec0} - C:\Program Files\softonic-Germany\tbsoft.dll (Conduit Ltd.)
IE - HKU\Cindy_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Mama_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKU\Mama_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Mama_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 8F B9 CC 9C A9 C3 CA 01  [binary data]
IE - HKU\Mama_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "softonic-Germany Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2449729&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de.ask.com?o=15506&l=dis"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: gutscheinmieze@synatix-gmbh.de:1.03
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590
FF - prefs.js..extensions.enabledItems: {5D0EC45B-D2E4-4DD0-A5B2-69DDEFE852A8}:2.0
FF - prefs.js..extensions.enabledItems: {a51a36e6-31e7-4838-9ff7-76298b527ec0}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.1.5
FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2
FF - prefs.js..keyword.URL: "hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm117YYDE&ptb=WHoRiwFMzOaJGe2lvfeeCw&ind=2010121513&ptnrS=GRxdm117YYDE&si=2845&n=77d00529&psa=&st=kwd&searchfor="
 
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010/07/15 12:58:45 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\2.bin [2011/03/20 12:50:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/04/05 07:24:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/04/05 07:24:52 | 000,000,000 | ---D | M]
 
[2008/09/10 06:20:51 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Extensions
[2011/04/17 06:15:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions
[2010/06/23 15:33:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/02/28 10:44:08 | 000,000,000 | ---D | M] (PhotoPos Toolbar) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\{5D0EC45B-D2E4-4DD0-A5B2-69DDEFE852A8}
[2011/04/08 04:58:46 | 000,000,000 | ---D | M] (softonic-Germany Community Toolbar) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\{a51a36e6-31e7-4838-9ff7-76298b527ec0}
[2011/04/08 04:58:41 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011/04/08 04:58:49 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\engine@conduit.com
[2011/02/11 15:16:40 | 000,000,000 | ---D | M] (Gutscheinmieze) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\gutscheinmieze@synatix-gmbh.de
[2011/03/17 14:05:21 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\extensions\toolbar@ask.com
[2011/04/17 06:05:23 | 000,002,388 | ---- | M] () -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\searchplugins\askcom.xml
[2011/01/08 06:23:32 | 000,000,935 | ---- | M] () -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\searchplugins\conduit.xml
[2011/04/12 14:29:53 | 000,000,944 | ---- | M] () -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\searchplugins\icqplugin.xml
[2010/12/15 14:57:00 | 000,010,157 | ---- | M] () -- C:\Users\Cindy\AppData\Roaming\Mozilla\Firefox\Profiles\hjximk8o.default\searchplugins\mywebsearch.xml
[2011/02/19 17:02:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010/09/14 13:17:43 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/02/19 17:02:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/03/20 12:50:39 | 000,000,000 | ---D | M] (My Web Search) -- C:\PROGRAM FILES\MYWEBSEARCH\BAR\2.BIN
[2010/07/15 12:58:45 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMDATA\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
[2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2010/03/19 04:23:30 | 000,686,592 | ---- | M] (Synatix GmbH) -- C:\Program Files\Mozilla Firefox\plugins\npmieze.dll
[2010/09/18 07:57:32 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/09/18 07:57:32 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011/02/11 15:16:40 | 000,000,143 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\foxsearch.src
[2010/09/18 07:57:32 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/09/18 07:57:32 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/09/18 07:57:32 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/09/28 09:04:32 | 000,000,788 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\2.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (IE Toolbar)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (PhotoPos Toolbar) - {5D0EC45B-D2E4-4DD0-A5B2-69DDEFE852A8} - C:\Program Files\PhotoposComTbr\PhotoposComTbrLib.dll ()
O2 - BHO: (softonic-Germany Toolbar) - {a51a36e6-31e7-4838-9ff7-76298b527ec0} - C:\Program Files\softonic-Germany\tbsoft.dll (Conduit Ltd.)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (PhotoPos Toolbar) - {5D0EC45B-D2E4-4DD0-A5B2-69DDEFE852A8} - C:\Program Files\PhotoposComTbr\PhotoposComTbrLib.dll ()
O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (IE Toolbar)
O3 - HKLM\..\Toolbar: (softonic-Germany Toolbar) - {a51a36e6-31e7-4838-9ff7-76298b527ec0} - C:\Program Files\softonic-Germany\tbsoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Cindy\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (IE Toolbar)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (softonic-Germany Toolbar) - {A51A36E6-31E7-4838-9FF7-76298B527EC0} - C:\Program Files\softonic-Germany\tbsoft.dll (Conduit Ltd.)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Cindy_ON_C\..\Toolbar\WebBrowser: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Cindy\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O3 - HKU\Mama_ON_C\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (IE Toolbar)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol]  File not found
O4 - HKLM..\Run: [LaunchAp]  File not found
O4 - HKLM..\Run: [LifeCam] C:\Program Files\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [recinfo457] C:\RecInfo\RecInfo.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [Wbutton]  File not found
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\Cindy_ON_C..\Run: [ICQ] C:\Users\Cindy\AppData\Roaming\ICQ\Application\ICQ7.0\ICQ.exe (ICQ, LLC.)
O4 - HKU\Cindy_ON_C..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKU\Cindy_ON_C..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKU\Cindy_ON_C..\Run: [Speech Recognition] C:\Windows\Speech\Common\sapisvr.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Mama_ON_C..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe (Electronic Arts)
O4 - HKU\NetworkService_ON_C..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Cindy_ON_C..\RunOnce: [FlashPlayerUpdate] C:\Windows\System32\Macromed\Flash\FlashUtil10l_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Users\Cindy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\Cindy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Cindy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\Cindy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll (Google Inc.)
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (ICQ Ltd.)
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (ICQ Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1221752362 (Image Uploader Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\Cindy_ON_C Winlogon: Shell - (C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S1NMYD7H\about[1].exe) - C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S1NMYD7H\about[1].exe ()
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{35e3cbff-82a3-11df-8e71-0016d387b614}\Shell - "" = AutoRun
O33 - MountPoints2\{35e3cbff-82a3-11df-8e71-0016d387b614}\Shell\AutoRun\command - "" = F:\Startme.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/04/04 15:04:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks
[2011/04/04 15:04:19 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Lightworks
[2011/04/04 15:03:45 | 001,846,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\D3DCompiler_41.dll
[2011/04/04 15:03:44 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3dx10_41.dll
[2011/04/04 15:03:41 | 004,178,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\D3DX9_41.dll
[2011/04/04 15:03:39 | 000,517,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XAudio2_4.dll
[2011/04/04 15:03:39 | 000,069,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XAPOFX1_3.dll
[2011/04/04 15:03:37 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\X3DAudio1_6.dll
[2011/04/04 15:03:04 | 000,000,000 | ---D | C] -- C:\Program Files\Lightworks
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/04/20 04:25:39 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011/04/20 04:25:29 | 000,000,426 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{21F2FD4C-D79A-4680-A5E4-ACB535FDE6EE}.job
[2011/04/20 04:25:28 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/04/20 04:24:42 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011/04/20 04:24:42 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011/04/18 15:52:00 | 000,001,114 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2142154396-1189542648-3249054530-1003UA.job
[2011/04/18 15:51:06 | 000,000,868 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2011/04/18 15:19:37 | 002,212,882 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011/04/18 15:19:37 | 000,049,982 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011/04/18 15:19:37 | 000,004,254 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011/04/18 15:19:37 | 000,004,062 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011/04/17 15:46:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/04/17 09:52:00 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2142154396-1189542648-3249054530-1003Core.job
[2011/04/15 15:39:24 | 000,219,648 | ---- | M] () -- C:\Users\Cindy\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/04/14 09:30:30 | 000,146,719 | ---- | M] () -- C:\Users\Cindy\Desktop\201104_wicked_beren_900.jpg
[2011/04/12 15:57:59 | 000,000,111 | -H-- | M] () -- C:\Users\Cindy\Documents\.~lock.TAGEBUCH.odt#
[2011/04/09 16:36:42 | 000,046,642 | ---- | M] () -- C:\Users\Cindy\Desktop\Johnny Depp Vanity Fair January 2011 - 2.jpg
[2011/04/08 04:40:26 | 000,001,370 | ---- | M] () -- C:\Users\Cindy\AppData\Roaming\wklnhst.dat
[2011/04/08 04:38:37 | 000,025,303 | ---- | M] () -- C:\Users\Cindy\Documents\TAGEBUCH.odt
[2011/04/04 15:04:37 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks
[2011/04/04 14:56:09 | 007,741,055 | ---- | M] () -- C:\Users\Cindy\Desktop\Zelda Ocarina of Time Music Video.mp3
[2011/04/02 14:14:17 | 000,948,671 | ---- | M] () -- C:\Users\Cindy\Desktop\WIC_OB_SZENENMOTIV10_2126X1535PX_300DPI1.jpg
[2011/03/22 15:54:02 | 000,105,553 | ---- | M] () -- C:\Users\Cindy\Desktop\a89a126e76.jpg
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/04/14 09:30:23 | 000,146,719 | ---- | C] () -- C:\Users\Cindy\Desktop\201104_wicked_beren_900.jpg
[2011/04/12 15:57:59 | 000,000,111 | -H-- | C] () -- C:\Users\Cindy\Documents\.~lock.TAGEBUCH.odt#
[2011/04/09 16:36:36 | 000,046,642 | ---- | C] () -- C:\Users\Cindy\Desktop\Johnny Depp Vanity Fair January 2011 - 2.jpg
[2011/04/04 12:00:26 | 007,741,055 | ---- | C] () -- C:\Users\Cindy\Desktop\Zelda Ocarina of Time Music Video.mp3
[2011/04/02 14:14:14 | 000,948,671 | ---- | C] () -- C:\Users\Cindy\Desktop\WIC_OB_SZENENMOTIV10_2126X1535PX_300DPI1.jpg
[2011/03/23 14:50:20 | 000,025,303 | ---- | C] () -- C:\Users\Cindy\Documents\TAGEBUCH.odt
[2011/03/22 15:53:57 | 000,105,553 | ---- | C] () -- C:\Users\Cindy\Desktop\a89a126e76.jpg
[2011/02/28 10:44:00 | 000,000,096 | -HS- | C] () -- C:\Windows\WSYS049.SYS
[2011/02/28 10:43:04 | 000,197,771 | ---- | C] () -- C:\Windows\Photo Pos Pro Uninstaller.exe
[2010/09/06 05:08:36 | 000,033,792 | ---- | C] () -- C:\Windows\System32\rgbacodec.dll
[2010/04/06 06:10:15 | 000,225,411 | ---- | C] () -- C:\Windows\System32\PosPrKpLib.dll
[2010/04/06 06:10:07 | 000,020,480 | ---- | C] () -- C:\Windows\System32\PosTickerLib.dll
[2010/01/25 17:17:15 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009/09/16 03:18:26 | 000,035,514 | ---- | C] () -- C:\ProgramData\LUUnInstall.LiveUpdate
[2009/08/15 13:06:06 | 000,000,049 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2009/05/23 04:52:57 | 000,007,680 | ---- | C] () -- C:\Users\Mama\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/04/15 06:00:07 | 001,868,944 | ---- | C] () -- C:\Windows\System32\RSA32_16.DLL
[2008/10/19 07:56:09 | 000,013,999 | ---- | C] () -- C:\Users\Cindy\AppData\Roaming\UserTile.png
[2008/06/29 07:57:35 | 000,000,093 | ---- | C] () -- C:\Users\Cindy\AppData\Local\fusioncache.dat
[2008/06/29 07:42:10 | 000,000,169 | ---- | C] () -- C:\Windows\uno.ini
[2008/06/29 07:42:01 | 000,287,744 | ---- | C] () -- C:\Windows\uno364mi.dll
[2008/06/29 07:42:01 | 000,109,568 | ---- | C] () -- C:\Windows\vos364mi.dll
[2008/06/29 07:42:01 | 000,091,648 | ---- | C] () -- C:\Windows\osl364mi.dll
[2008/06/23 09:46:51 | 000,121,288 | ---- | C] () -- C:\Windows\Pos Free Photo Editor Uninstaller.exe
[2008/06/07 17:11:06 | 000,000,599 | ---- | C] () -- C:\Windows\eReg.dat
[2008/05/29 17:16:51 | 000,001,370 | ---- | C] () -- C:\Users\Cindy\AppData\Roaming\wklnhst.dat
[2008/05/12 06:30:33 | 000,000,680 | ---- | C] () -- C:\Users\Cindy\AppData\Local\d3d9caps.dat
[2008/05/10 07:20:27 | 000,219,648 | ---- | C] () -- C:\Users\Cindy\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/02/25 21:29:04 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008/02/25 21:28:55 | 000,009,867 | ---- | C] () -- C:\Windows\System32\drivers\HOTKEY.sys
[2008/02/25 21:23:45 | 000,910,464 | ---- | C] () -- C:\Windows\System32\igmedkrn.dll
[2008/02/25 21:23:45 | 000,249,856 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2008/02/25 21:23:45 | 000,204,800 | ---- | C] () -- C:\Windows\System32\igfxCoIn_v1283.dll
[2006/11/02 11:33:31 | 002,212,882 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2006/11/02 11:33:31 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2006/11/02 11:33:31 | 000,049,982 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2006/11/02 11:33:31 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,319,808 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:33:01 | 000,004,254 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,004,062 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/11/02 03:22:43 | 000,099,999 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2006/11/02 03:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2006/08/11 04:52:02 | 000,012,288 | ---- | C] () -- C:\Windows\System32\EvOnlDiag.dll
[2005/09/23 07:52:14 | 000,078,848 | ---- | C] () -- C:\Windows\System32\OneWay.dll
[2004/11/16 14:22:43 | 000,020,480 | ---- | C] () -- C:\Windows\Base64.dll
[2002/06/02 10:05:40 | 000,038,912 | ---- | C] () -- C:\Windows\System32\1Way.dll
 
========== LOP Check ==========
 
[2008/07/22 20:18:11 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Anthropics
[2008/06/23 09:49:24 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\FrmMain
[2011/04/09 10:40:02 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\gtk-2.0
[2011/02/11 15:16:39 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Gutscheinmieze
[2011/03/20 12:51:31 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\ICQ
[2008/06/23 13:54:42 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\ICQ Toolbar
[2008/06/22 08:06:31 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\ICQLite
[2010/12/23 08:23:15 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\IN-MEDIAKG
[2010/12/23 08:23:43 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\mresreg
[2010/12/09 15:39:23 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\OpenOffice.org
[2011/03/20 11:41:52 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Opera
[2008/10/19 07:56:09 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\PeerNetworking
[2011/03/15 15:17:07 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\PhotoFiltre
[2010/07/16 17:29:21 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\PhotoScape
[2009/08/16 14:40:23 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\ProtectDisc
[2010/06/28 12:08:19 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Sony
[2010/06/28 09:54:01 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Sony Setup
[2008/06/25 04:33:57 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\T-Online
[2008/05/29 17:19:02 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Template
[2010/08/13 08:18:20 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\Windows Live Writer
[2010/09/02 14:48:43 | 000,000,000 | ---D | M] -- C:\Users\Cindy\AppData\Roaming\XMedia Recode
[2009/09/16 03:54:10 | 000,000,000 | ---D | M] -- C:\Users\Mama\AppData\Roaming\ProtectDisc
[2008/08/01 03:30:28 | 000,000,000 | ---D | M] -- C:\Users\Mama\AppData\Roaming\T-Online
[2008/05/10 07:17:38 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2008/09/28 09:24:44 | 000,000,000 | ---D | M] -- C:\ProgramData\CheckPoint
[2009/08/15 12:19:26 | 000,000,000 | ---D | M] -- C:\ProgramData\DATA BECKER Downloads
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2008/05/10 07:17:38 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2009/08/20 07:58:20 | 000,000,000 | ---D | M] -- C:\ProgramData\Electronic Arts
[2011/02/28 10:44:02 | 000,000,000 | ---D | M] -- C:\ProgramData\EmailNotifier
[2008/05/10 07:17:38 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2008/05/10 07:21:49 | 000,000,000 | ---D | M] -- C:\ProgramData\fsc-reg
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2008/05/10 07:17:38 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2008/06/25 04:31:17 | 000,000,000 | ---D | M] -- C:\ProgramData\T-Online
[2010/02/07 14:56:57 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2008/05/10 07:17:38 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2008/05/10 07:21:34 | 000,000,000 | ---D | M] -- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2011/04/18 11:47:51 | 000,032,606 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2011/04/20 04:25:29 | 000,000,426 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{21F2FD4C-D79A-4680-A5E4-ACB535FDE6EE}.job
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2011/01/27 14:08:58 | 000,009,155 | ---- | M] ()(C:\Users\Cindy\Documents\??Willemijn??.odt) -- C:\Users\Cindy\Documents\♥♥Willemijn♥♥.odt
[2010/12/20 15:48:27 | 000,009,155 | ---- | C] ()(C:\Users\Cindy\Documents\??Willemijn??.odt) -- C:\Users\Cindy\Documents\♥♥Willemijn♥♥.odt
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 96 bytes -> C:\ProgramData\TEMP:20C3AB27
@Alternate Data Stream - 64 bytes -> C:\Users\Cindy\Desktop\Zelda Ocarina of Time Music Video.mp3:TOC.WMV
< End of report >
--- --- ---
Ich hoffe, du kannst damit etwas anfangen.

markusg 20.04.2011 11:32
wieso wurde dein system noch niemals mit updates versorgt? da wunderst du dich noch über malware :-)

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
:OTL
O20 - HKU\Cindy_ON_C Winlogon: Shell - (C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S1NMYD7H\about[1].exe) - C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5\S1NMYD7H\about[1].exe ()
:Files
C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5\S1NMYD7H
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

kommst du an nen pc mit brenner?

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
das archiv nach anleitung hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html

cindyM 20.04.2011 12:09
Und wenn der PC nicht neu startet? Heir passiert gerade gar nix. Nachdem ich erneut auf Fix geklickt habe, ging ein Fenster auf:
X:\Programm\ MBRFix>X:\i386\System32\cmd.exe
Microsoft Windows XP [Version 5.1.2600]
<C> Copyright 1985-2001 Microsoft Corp.

X:\Progams\MBRFix

Und seit dem nix mehr

cindyM 20.04.2011 12:19
muss ich meinen pc denn nochmal runterfahren und dann nochmal hoch?

markusg 20.04.2011 12:42
starte mal neu und nimm die cd raus wenn das nicht klappt noch mal mit der otl cd starten, den windows ordner auswählen wie am anfang und dann mit dem fix fort fahren, evtl. musst du ihn per hand eintippen.

cindyM 20.04.2011 12:57
jetzt habe ich den richtigen fix button gefunden aber sobald ich mein textdokument eintragen will schmeisst der mich irgendwie immer raus und zeigt mir eine fehlermeldung an

markusg 20.04.2011 13:07
1. mit solchen angaben wie "irgendwie" brauchst du erst ar nicht anzufangen, du sitzt vor dem pc also musst du mir sagen, was genau passiert, wenn du hier hilfe haben willst.
2. trage den text mal selbst in die text box ein und klicke auf fix.

cindyM 20.04.2011 16:13
Okay ich habe den Fix in das Textfeld eingegeben und auf "Runs Fix" geklickt.
nach dem Prozess startete er nicht neu, soll ich ihn also neu starten ?
Es kam auch ein Fenster auf mit der Frage ob er jetzt neu gestartet werden kann.

markusg 20.04.2011 16:23
ja mach das mal bitte


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:29 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129