Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojan Spyeyes (kommt immer wieder), MS Removal Tool und diverse weitere (https://www.trojaner-board.de/98655-trojan-spyeyes-kommt-immer-ms-removal-tool-diverse.html)

yariel 03.05.2011 17:24
Trojan Spyeyes (kommt immer wieder), MS Removal Tool und diverse weitere
 
Hallo zusammen,

seit letzter Woche, ich weiss leider nicht mehr genau, was der Auslöser war, ich weiss nur noch dass plötzlich ein Pop Up von Ad aware Live kam, er hätte einen Trojaner geblockt. Misstrauisch wie ich eigentlich immer bei irgendwelchen Pop Ups bin, hab ich ihn mit dem Kreuz weggeklickt und Malwarebytes laufen lassen. Der hatte damals auch direkt mehrere Sachen gefunden und entfernt. Ich hab blauäugig gedacht, das wärs gewesen.

Allerdings habe ich seitdem zufällige Seiteinweiterleitungen auf irgendwelche mysteriösen Links (bevorzugt wenn ich per google auf Seiten zur Trojanerbekämpfung klicke, da land ich dann immer sonstwo...), nach einiger Zeit im Netz kommt die Meldung "generic host process for win32 services" hat ein Problem und muss beendet werden, wonach das Internet nicht mehr geht und ich neu starten muss. Zudem werden microsoftupdate Seiten nicht mehr gefunden, und seit heute hat sich auch noch plötzlich das sogenannte MS Removal Tool gestartet.

Was ich jetzt gemacht habe: nach jedem Neustart habe ich immer Malwarebytes laufen lassen, Trojan Spyeye war immer wieder da. Heute bin ich dann, wegen dem MS Removal Tool, nach dieser Beschreibung vorgegangen: http://www.trojaner-board.de/96914-m...entfernen.html
Zudem habe ich OTL Logs erstellt:
Code:
OTL logfile created on: 03.05.2011 17:35:43 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 70,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): D:\pagefile.sys 3057 3057 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 25,04 Gb Total Space | 17,45 Gb Free Space | 69,68% Space Free | Partition Type: NTFS
Drive D: | 118,00 Gb Total Space | 34,74 Gb Free Space | 29,44% Space Free | Partition Type: NTFS
Drive F: | 7,82 Gb Total Space | 5,78 Gb Free Space | 73,85% Space Free | Partition Type: FAT32
 
Computer Name: JOHNNY | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe (Adobe Systems Incorporated)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (CVPND) -- D:\Programme\Cisco VPN Client\cvpnd.exe (Cisco Systems, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (VMC326) -- C:\WINDOWS\system32\drivers\VMC326.sys (Vimicro Corporation)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (DNSeFilter) -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS (Samsung Electronics,.LTD)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (FANTOM) -- C:\WINDOWS\system32\drivers\fantom.sys (National Instruments Corporation)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\system32\DRIVERS\d347bus.sys ( )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Google Toolbar
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = iGoogle
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Toolbar
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Google Toolbar
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = iGoogle
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Google Toolbar
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {A64DE312-AB79-4C74-AD20-3A495AE05191}:1.9.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{A64DE312-AB79-4C74-AD20-3A495AE05191}: C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\{A64DE312-AB79-4C74-AD20-3A495AE05191} [2010.02.09 17:06:30 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.03 15:57:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.02 13:37:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2011.03.10 12:21:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: D:\Programme\Mozilla Thunderbird\plugins [2010.02.05 16:04:03 | 000,000,000 | ---D | M]
 
[2011.05.03 15:57:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2011.05.03 15:57:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\whdj6oj5.default\extensions
[2011.04.28 14:01:26 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.02.09 17:06:30 | 000,000,000 | ---D | M] (XULRunner) -- C:\DOKUMENTE UND EINSTELLUNGEN\JOHANNES\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\{A64DE312-AB79-4C74-AD20-3A495AE05191}
[2010.06.01 22:46:49 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.03.17 09:31:12 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.17 09:31:12 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.17 09:31:12 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.17 09:31:12 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.17 09:31:12 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.05.03 17:06:24 | 000,000,732 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)
O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] D:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [swg]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.12 13:57:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.03 17:34:35 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.05.03 17:11:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2011.05.03 17:11:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
[2011.05.03 16:06:03 | 000,148,992 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\null0.6680923499389645.exe
[2011.05.03 16:05:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2011.05.03 16:04:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
[2011.05.03 15:58:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
[2011.05.03 15:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.05.03 15:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
[2011.05.03 15:55:07 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2011.05.03 15:55:07 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2011.05.03 15:55:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2011.05.03 15:55:07 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2011.05.03 15:55:07 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik
[2011.05.03 15:55:07 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
[2011.05.03 15:55:07 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder
[2011.05.03 15:55:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2011.05.03 15:55:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2011.05.03 15:55:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Play Camera Media
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011.05.03 15:55:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150000}
[2011.05.03 15:55:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2011.05.03 15:55:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2011.05.03 15:55:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2011.05.03 15:55:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2011.05.03 15:55:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2011.05.03 15:55:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2011.05.03 15:55:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\LG Power Tools
[2011.05.03 15:35:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pP28604IfHnJ28604
[2011.05.03 15:35:50 | 000,000,000 | ---D | C] -- C:\Microsoft
[2011.05.03 15:25:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2011.04.30 13:45:22 | 002,195,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe
[2011.04.30 13:45:22 | 002,151,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe
[2011.04.30 13:45:22 | 002,029,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe
[2011.04.30 13:45:21 | 002,071,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlpa.exe
[2011.04.30 12:21:04 | 000,455,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys
[2011.04.30 12:20:54 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2011.04.27 13:03:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011.04.27 12:37:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2011.04.27 12:37:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011.04.27 12:37:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011.04.13 14:36:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
[2009.06.23 17:34:45 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2009.06.23 17:34:45 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.03 17:38:17 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.03 17:34:07 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.05.03 17:32:27 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\luxb.sys
[2011.05.03 17:09:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.03 17:06:24 | 000,000,732 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.05.03 16:06:04 | 000,148,992 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\null0.6680923499389645.exe
[2011.05.02 20:38:30 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.05.02 13:27:54 | 000,107,808 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.05.01 16:00:25 | 000,317,168 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.05.01 16:00:25 | 000,311,938 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.05.01 16:00:25 | 000,048,552 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.05.01 16:00:25 | 000,040,326 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.05.01 15:23:18 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.28 13:38:10 | 000,000,484 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.04.27 14:16:11 | 000,026,624 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\userinit.exe
[2011.04.27 12:44:28 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\rp_stats.dat
[2011.04.27 12:44:28 | 000,000,044 | ---- | M] () -- C:\WINDOWS\System32\rp_rules.dat
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.03 17:32:27 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\luxb.sys
[2011.05.03 16:05:47 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.03 15:55:08 | 000,000,669 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\LG Power Tools.lnk
[2011.05.03 15:55:07 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2011.05.03 15:55:07 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Internet Explorer.lnk
[2011.05.03 15:55:07 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Outlook Express.lnk
[2011.05.03 15:35:48 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\htjzka.dat
[2011.04.30 11:53:42 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.04.27 12:43:10 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011.04.27 12:43:10 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2010.08.24 21:07:46 | 000,000,000 | ---- | C] () -- C:\WINDOWS\usolaref.dll
[2010.08.24 17:03:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\icivolup.dll
[2010.08.24 15:58:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ibiyifegizutaz.dll
[2010.08.24 11:54:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\inosulize.dll
[2010.08.23 19:27:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\obidixen.dll
[2010.08.23 14:44:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\urudijib.dll
[2010.08.23 01:18:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\edutumoy.dll
[2010.08.22 23:16:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\irerotegixivazom.dll
[2010.08.22 21:14:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izegovagif.dll
[2010.08.22 19:12:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oludovugiyarikom.dll
[2010.08.22 17:10:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\inaxaroyuy.dll
[2010.08.21 15:46:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\egezimim.dll
[2010.08.20 20:01:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eyavomas.dll
[2010.08.18 20:40:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\unuqobac.dll
[2010.08.18 12:32:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\azabelisuzog.dll
[2010.08.18 10:30:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uguwesebebebagu.dll
[2010.08.17 22:29:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ipoqerofiboqa.dll
[2010.08.17 20:27:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\axifipulukelik.dll
[2010.08.17 16:20:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esadukeqodadujo.dll
[2010.08.17 14:16:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ubaxelayot.dll
[2010.08.17 12:16:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\akedanaw.dll
[2010.08.16 15:56:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\itiniyetasoyu.dll
[2010.08.16 11:52:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\orimewob.dll
[2010.08.13 00:44:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imaxubex.dll
[2010.08.12 22:42:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\evifabipere.dll
[2010.08.12 16:36:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esixoyenevudamum.dll
[2010.08.12 14:34:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ilipiguyor.dll
[2010.08.11 21:22:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\alecuzuh.dll
[2010.08.11 19:20:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oramagabobi.dll
[2010.08.11 13:14:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\opeceweweciq.dll
[2010.08.11 01:18:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asuqowaqifi.dll
[2010.08.10 23:16:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\emijifoha.dll
[2010.08.10 19:12:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\anutilesolasiwit.dll
[2010.08.10 13:06:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\efisuzog.dll
[2010.08.10 03:11:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujegemidar.dll
[2010.08.09 21:05:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uxorogehudafuga.dll
[2010.08.09 19:03:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ulagoguta.dll
[2010.08.09 14:59:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acukebegukop.dll
[2010.08.08 23:40:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apokitenimiq.dll
[2010.08.08 21:38:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\udosoyaqoxisi.dll
[2010.08.08 15:32:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\usutuyih.dll
[2010.08.08 00:19:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\icagejop.dll
[2010.08.07 22:17:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esebecidu.dll
[2010.08.07 20:15:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ojepiconihu.dll
[2010.08.07 18:13:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uqelegacude.dll
[2010.08.07 16:11:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iwulutiholurac.dll
[2010.08.07 14:09:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uhohaqitejig.dll
[2010.08.07 12:07:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ubayepeb.dll
[2010.08.07 10:05:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\icamatum.dll
[2010.08.07 03:59:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uhizejow.dll
[2010.08.07 01:57:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ajubejukozehujo.dll
[2010.08.06 23:55:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucukiqovabupicer.dll
[2010.08.06 17:49:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\amofutocal.dll
[2010.08.06 15:47:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\upinicapaqe.dll
[2010.08.06 13:45:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\obubonatanabo.dll
[2010.08.06 11:43:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ipuxujabowixani.dll
[2010.08.06 07:39:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esibapuy.dll
[2010.08.06 03:35:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\igokequwam.dll
[2010.08.05 23:31:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iwamiyapa.dll
[2010.08.05 21:29:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ehaganidesu.dll
[2010.08.05 19:27:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ayebacep.dll
[2010.08.05 17:25:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iweyojoqozi.dll
[2010.08.05 13:21:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ezusiqaq.dll
[2010.08.05 11:19:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iwimahohewazucoc.dll
[2010.08.05 09:17:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ozisapamot.dll
[2010.08.05 07:15:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\awulijosifaduju.dll
[2010.08.05 01:09:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\inozajif.dll
[2010.08.04 23:07:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ibuhetil.dll
[2010.08.04 19:03:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ibedehipen.dll
[2010.08.04 14:59:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odegucor.dll
[2010.08.04 12:57:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\afijacuqepiconi.dll
[2010.08.04 06:51:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\irinoqoyejamiyum.dll
[2010.08.04 04:49:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekubuhog.dll
[2010.08.04 02:47:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oyusiquyicubucam.dll
[2010.08.04 00:45:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\etebopevubeqovu.dll
[2010.08.03 01:16:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oveyiwogil.dll
[2010.08.02 14:07:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imavoxanetixivum.dll
[2010.08.02 12:05:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\evuqazefijocif.dll
[2010.08.01 23:06:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\akucoxic.dll
[2010.08.01 21:04:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ihutikunodij.dll
[2010.08.01 17:00:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\alayeviw.dll
[2010.08.01 12:56:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eyijihaf.dll
[2010.07.31 18:25:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uzaxacum.dll
[2010.07.31 15:31:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\upixayugupiditem.dll
[2010.07.30 22:37:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\irawepazucowo.dll
[2010.07.30 13:38:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uxovugiy.dll
[2010.07.29 22:12:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ihajulowunika.dll
[2010.07.29 20:10:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\axitifefeq.dll
[2010.07.28 22:21:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ezicetuh.dll
[2010.07.28 20:19:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imavemomixef.dll
[2010.07.28 18:17:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ecikububov.dll
[2010.07.28 14:13:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\osocogir.dll
[2010.07.28 12:11:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\udiqayofika.dll
[2010.07.28 10:09:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\awenigowelijo.dll
[2010.07.28 08:07:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucahasaf.dll
[2010.07.28 06:05:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\egabetovapuz.dll
[2010.07.28 04:03:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izuyubad.dll
[2010.07.28 02:01:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\utomemapiqiy.dll
[2010.07.27 23:59:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\enatetacoy.dll
[2010.07.27 21:57:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofifiyupade.dll
[2010.07.27 19:55:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oquziguquxuza.dll
[2010.07.27 17:53:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekamagabobituyi.dll
[2010.07.27 15:51:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acegasut.dll
[2010.07.27 13:49:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ihivowiy.dll
[2010.07.27 11:47:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\exerotegixiv.dll
[2010.07.27 01:54:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ozequxoj.dll
[2010.07.26 23:52:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\irijakucuraqil.dll
[2010.07.26 21:50:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uhohoxaj.dll
[2010.07.26 19:48:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ositivumejabi.dll
[2010.07.26 17:46:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ilugodobuvogepu.dll
[2010.07.26 15:44:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\udobevamikumi.dll
[2010.07.26 13:42:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aqohapuv.dll
[2010.07.26 00:15:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ayaketomivokitu.dll
[2010.07.25 22:13:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ohuseciyopubopit.dll
[2010.07.25 20:11:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ubocucafuv.dll
[2010.07.24 13:29:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ojoqeviw.dll
[2010.07.24 11:27:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ogajidifeme.dll
[2010.07.24 09:25:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\edepavur.dll
[2010.07.24 07:23:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\urawaxoz.dll
[2010.07.24 05:21:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekesaxoveseb.dll
[2010.07.24 03:19:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ecitekud.dll
[2010.07.24 01:17:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uvuguxavigam.dll
[2010.07.23 23:15:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\onafivut.dll
[2010.07.23 21:13:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ebazidoh.dll
[2010.07.23 19:11:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uzawavat.dll
[2010.07.23 17:09:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\umogepuwido.dll
[2010.07.23 15:07:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucuvoxanetixivum.dll
[2010.07.23 13:05:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\osekukas.dll
[2010.07.23 11:03:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ubidixenibek.dll
[2010.07.22 23:31:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\obitepinukon.dll
[2010.07.22 21:29:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apumaxeqayofi.dll
[2010.07.22 19:27:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\agizerahemileki.dll
[2010.07.22 17:25:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\afomukimupewu.dll
[2010.07.22 15:23:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uxuguxabokogike.dll
[2010.07.22 13:21:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\usavidog.dll
[2010.07.22 11:19:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okowopoze.dll
[2010.07.22 00:58:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\etikodur.dll
[2010.07.21 22:56:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\onuroluq.dll
[2010.07.21 20:54:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ihosupahoge.dll
[2010.07.21 18:52:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uzufideq.dll
[2010.07.21 16:50:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okukixuyoy.dll
[2010.07.21 14:48:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eyilukigatek.dll
[2010.07.21 12:46:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eluxaxay.dll
[2010.07.21 10:44:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ezukinemerokoni.dll
[2010.07.20 21:15:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imebaxiti.dll
[2010.07.20 19:13:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acuradiyub.dll
[2010.07.20 17:11:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esudovugiyarikom.dll
[2010.07.20 15:09:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ukifaquzacufo.dll
[2010.07.20 13:10:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uredanawo.dll
[2010.07.19 23:29:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofomuzage.dll
[2010.07.19 21:27:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\enigiseyite.dll
[2010.07.19 19:25:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\agubinagoguta.dll
[2010.07.19 17:23:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izoyayiyohu.dll
[2010.07.19 15:21:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\isoloromazi.dll
[2010.07.19 09:42:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ufubacaxoza.dll
[2010.07.19 07:40:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oqazoqocefuwejat.dll
[2010.07.19 05:38:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\enawohon.dll
[2010.07.19 03:36:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ejelitaciwim.dll
[2010.07.19 01:34:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofezupewada.dll
[2010.07.18 23:32:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ufubedit.dll
[2010.07.18 21:30:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\isoreriy.dll
[2010.07.18 19:28:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ecufomorab.dll
[2010.07.18 13:50:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oqehigafeku.dll
[2010.07.18 11:48:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uwucosuwulecu.dll
[2010.07.18 09:46:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekutegefixi.dll
[2010.07.18 07:44:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\urijogux.dll
[2010.07.18 05:42:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ugogemidar.dll
[2010.07.18 03:40:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aqibehavaqeg.dll
[2010.07.18 01:38:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oxohobekeyojiy.dll
[2010.07.17 23:36:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\epokitenimiqayoq.dll
[2010.07.17 21:34:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\adosoyaq.dll
[2010.07.17 19:32:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucuwesebebe.dll
[2010.07.17 17:30:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uyayanam.dll
[2010.07.17 15:28:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asutuyihita.dll
[2010.07.17 13:26:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uhesitefesuf.dll
[2010.07.17 01:46:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\equkopositadux.dll
[2010.07.16 23:44:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oqodedugugek.dll
[2010.07.16 21:42:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imuxevoyohovoj.dll
[2010.07.16 19:40:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acequkivego.dll
[2010.07.16 12:24:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ahesitefesufiyas.dll
[2010.07.16 00:39:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujohihehatehi.dll
[2010.07.15 22:37:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\upecaqiq.dll
[2010.07.15 20:35:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odeleyoc.dll
[2010.07.15 18:33:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\orobacagayusaq.dll
[2010.07.15 16:31:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ariyojiyedoh.dll
[2010.07.15 14:29:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucutucigenoguq.dll
[2010.07.15 12:27:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\efojihum.dll
[2010.07.14 23:42:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekusidub.dll
[2010.07.14 21:40:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\avutapim.dll
[2010.07.14 17:49:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\omogepuw.dll
[2010.07.14 15:47:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ocuvoxanetix.dll
[2010.07.14 13:45:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\isekukasegadav.dll
[2010.07.14 11:43:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ibidixenibekepem.dll
[2010.07.13 21:52:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uyixoyenevudamum.dll
[2010.07.13 19:50:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esipiguyorukem.dll
[2010.07.13 17:48:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aloriyonidopumam.dll
[2010.07.13 15:46:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\abahemile.dll
[2010.02.13 11:52:33 | 000,000,655 | ---- | C] () -- C:\WINDOWS\iqovofam.dll
[2010.02.09 17:06:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Pbaziriyij.bin
[2010.02.09 17:06:30 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Cfehakobilobak.dat
[2009.09.06 12:11:05 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.06.23 23:09:18 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Johannes_KBD.ini
[2009.06.23 16:58:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.03.17 14:21:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.02.12 21:35:38 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.02.12 21:35:30 | 000,317,168 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2009.02.12 21:35:30 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2009.02.12 21:35:30 | 000,048,552 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2009.02.12 21:35:30 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2009.02.12 21:35:21 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2009.02.12 21:35:20 | 000,311,938 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2009.02.12 21:35:20 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2009.02.12 21:35:20 | 000,040,326 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2009.02.12 21:35:20 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2009.02.12 21:35:19 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2009.02.12 21:35:19 | 000,004,486 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2009.02.12 21:35:19 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2009.02.12 21:35:17 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2009.02.12 21:35:17 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2009.02.12 21:35:14 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2009.02.12 21:35:11 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2009.02.12 14:17:22 | 000,307,200 | ---- | C] () -- C:\WINDOWS\SetDisplayResolution.exe
[2009.02.12 14:10:08 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2009.02.12 14:10:08 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Besitzer_KBD.ini
[2009.02.12 14:10:05 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2009.02.12 14:10:05 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2009.02.12 14:10:05 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2009.02.12 14:10:05 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2009.02.12 14:10:05 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2009.02.12 14:10:05 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2009.02.12 14:10:05 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2009.02.12 14:10:05 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2009.02.12 14:10:05 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI
[2009.02.12 14:10:05 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2009.02.12 14:10:05 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2009.02.12 14:10:05 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI
[2009.02.12 14:10:05 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2009.02.12 14:10:05 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI
[2009.02.12 14:10:05 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI
[2009.02.12 14:10:05 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2009.02.12 14:10:05 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2009.02.12 14:07:50 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini
[2009.02.12 14:07:50 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini
[2009.02.12 14:04:21 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009.02.12 14:01:48 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\drivers\Marker.exe
[2009.02.12 14:01:47 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2009.02.12 14:00:03 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.02.12 13:55:23 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.12 13:49:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.02.12 13:48:48 | 000,107,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.01.13 11:29:00 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2009.01.13 11:28:44 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008.09.17 14:20:08 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2007.02.26 17:49:12 | 006,139,774 | ---- | C] () -- C:\WINDOWS\imagine digital freedom.dat
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 120 bytes -> C:\WINDOWS:758FF4C1B023E586

< End of report >
Code:

OTL Extras logfile created on: 03.05.2011 17:35:43 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 70,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): D:\pagefile.sys 3057 3057 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 25,04 Gb Total Space | 17,45 Gb Free Space | 69,68% Space Free | Partition Type: NTFS
Drive D: | 118,00 Gb Total Space | 34,74 Gb Free Space | 29,44% Space Free | Partition Type: NTFS
Drive F: | 7,82 Gb Total Space | 5,78 Gb Free Space | 73,85% Space Free | Partition Type: FAT32
 
Computer Name: JOHNNY | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe" = C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent
"D:\Programme\ICQ\ICQ6.5\ICQ.exe" = D:\Programme\ICQ\ICQ6.5\ICQ.exe:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = LG Power Tools
"{21AE04E8-EBF6-40DB-9AA9-B7A80C5D057D}" = mkv2vob
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5CBB720F-08E6-4043-B83F-76C277AF6DE7}" = Samsung Wallpaper
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = LG CyberLink PowerDVD 7.0
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{71A51B59-E7D3-11DB-A386-005056C00008}" = Namuga 1.3M Webcam
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8E106A57-A17E-431D-B48F-175E42EB9F74}" = imagine digital freedom - Samsung
"{9666C26B-FC71-4F84-B5B7-80DDFE5FAA57}" = LEGO MINDSTORMS Edu NXT - English Language Pack
"{A174D18A-766D-4581-B683-A1D8A5349123}" = LEGO MINDSTORMS Edu NXT Software v2.0
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{A7581D39-EA20-4883-A480-80C21047052B}" = Easy Network Manager
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{ABB14904-A11B-4F42-996C-80FD608A0F17}" = Samsung EDS
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{ADD5DB49-72CF-11D8-9D75-000129760D75}" = LG CyberLink PowerBackup
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = LG CyberLink PowerProducer
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BD723E53-A42C-4702-AA04-1D74A0311590}" = Magic Keyboard
"{D7106E72-D09F-43BD-A0B2-D19D226A2FE8}" = LEGO MINDSTORMS NXT Driver
"{E9AF380B-40FA-4D83-A5C7-A80D9BB8E566}" = LEGO MINDSTORMS NXT Edu Migration Package
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}" = Cisco Systems VPN Client 5.0.05.0290
"{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}" = Atheros WLAN Client
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"CCleaner" = CCleaner (remove only)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"ElsterFormular 11.5.1.4843" = ElsterFormular
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = LG Power Tools
"InstallShield_{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"MiKTeX 2.7" = MiKTeX 2.7
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)
"Picasa 3" = Picasa 3
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Tweak UI 2.10" = Tweak UI
"VLC media player" = VLC media player 1.1.3
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinEdt_is1" = WinEdt
"xp-AntiSpy" = xp-AntiSpy 3.97-3
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 29.04.2011 14:18:42 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 29.04.2011 15:52:57 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 30.04.2011 04:33:18 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 30.04.2011 05:33:46 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 30.04.2011 05:48:55 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 30.04.2011 06:11:35 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x00023825.
 
Error - 30.04.2011 07:00:23 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
 unknown, Version 0.0.0.0, Fehleradresse 0x7c933825.
 
Error - 01.05.2011 10:17:15 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00022235.
 
Error - 02.05.2011 07:42:36 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00022235.
 
Error - 03.05.2011 02:56:00 | Computer Name = JOHNNY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00022235.
 
[ System Events ]
Error - 03.05.2011 11:02:47 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:02:49 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:04:44 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:04:45 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:08:13 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:08:35 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 03.05.2011 11:09:56 | Computer Name = JOHNNY | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume2" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 03.05.2011 11:10:31 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 03.05.2011 11:10:36 | Computer Name = JOHNNY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 03.05.2011 11:11:03 | Computer Name = JOHNNY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Fips  intelppm
 
 
< End of report >

Code:

Und hier noch der Malwarebyte Log aus dem abgesicherten Modus. Irgendwie sind die anderen von dort aus nicht verfügbar, aber falls die benötigt werden, kann ich sie auch noch nachreichen!.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: 6499

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

03.05.2011 16:35:47
mbam-log-2011-05-03 (16-35-47).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 259567
Time elapsed: 26 minute(s), 29 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 8

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Cycbot.Gen) -> Value: conhost -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Files Infected:
c:\programme\internet explorer\conhost.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\programme\windows nt\dwm.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\csrss.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\~TM15258.TMP (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\~TM2E.tmp (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\~TM2F.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
Und hier nach dem Reboot, Spyeyes wieder da...

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6499

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

03.05.2011 17:32:22
mbam-log-2011-05-03 (17-32-22).txt

Scan type: Quick scan
Objects scanned: 147415
Time elapsed: 3 minute(s), 8 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Files Infected:
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Ich hoffe ich habe nichts vergessen zu erwähnen. Vielen Dank schonmal im Voraus.

Gruß Yariel

markusg 03.05.2011 17:26
poste mal bitte alle malwarebytes logs.
machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem gerät?
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

yariel 03.05.2011 17:50
Ich hab eben wieder im normalen Modus gestartet, prompt hat mich wieder MS Removal tools erwartet... malwarebytes reagierte nicht (vermutlich vom Ms Removal Tool geblockt), weswegen ich auch nicht auf die Logs zugreifen konnte. Kommt man noch auf nem andern Weg an die ran?
Combofix logs werden gerade erstellt. Was die Frage betrifft, hab über den PC regelmäßig auf Amazon geshoppt und zusätzlich meine komplette Uni-Verwaltung darüber abgewickelt...

Gruß

markusg 03.05.2011 17:57
ok wir machen das system soweit flott das du daten sichern kannst. danach muss neu aufgesetzt und abgesichert werden.
man kann nicht für ein sauberes system garantieren deswegen ist dies nötig, wenn du nicht eines tages erleben willst, wie jemand in deinem namen shoppen geht :-(

yariel 03.05.2011 18:07
das habe ich leider schon befürchtet, nachdem ich ein paar Sachen über die Dinger gelesen hab, die ich mir da angelacht hab...

Also der Combofix log ist fertig, der Pc hat sich hierbei automatisch in den normalen Modus neu gestartet, diesmal is der MS Removal Tool nicht da, ich kann also auf die Logs zugreifen:

Code:
ComboFix 11-05-02.04 - Administrator 03.05.2011  18:45:28.1.2 - x86 NETWORK
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
ADS - WINDOWS: deleted 120 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pP28604IfHnJ28604
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pP28604IfHnJ28604\pP28604IfHnJ28604
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pP28604IfHnJ28604\pP28604IfHnJ28604.exe
c:\dokumente und einstellungen\Johannes\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\Johannes\Anwendungsdaten\Adobe\shed
C:\Microsoft
c:\windows\daemon.dll
.
Infizierte Kopie von c:\windows\system32\Drivers\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-03 bis 2011-05-03  ))))))))))))))))))))))))))))))
.
.
2011-05-03 15:37 . 2011-05-03 15:37        --------        d-s---w-        c:\dokumente und einstellungen\LocalService\UserData
2011-05-03 14:06 . 2011-05-03 14:06        148992        ----a-w-        c:\windows\system32\null0.6680923499389645.exe
2011-05-03 13:55 . 2011-05-03 13:55        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2011-04-30 11:52 . 2011-04-30 11:52        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2011-04-30 11:45 . 2010-12-09 15:13        2195072        -c----w-        c:\windows\system32\dllcache\ntoskrnl.exe
2011-04-30 11:45 . 2010-12-09 15:13        2029568        -c----w-        c:\windows\system32\dllcache\ntkrpamp.exe
2011-04-30 11:45 . 2010-12-09 15:13        2151424        -c----w-        c:\windows\system32\dllcache\ntkrnlmp.exe
2011-04-30 11:45 . 2010-12-09 15:13        2071680        -c----w-        c:\windows\system32\dllcache\ntkrnlpa.exe
2011-04-30 10:21 . 2011-02-17 13:18        455936        -c----w-        c:\windows\system32\dllcache\mrxsmb.sys
2011-04-30 10:20 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2011-04-27 10:38 . 2011-04-27 10:38        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData
2011-04-27 10:37 . 2011-04-30 11:52        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-04-13 12:36 . 2011-04-13 12:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-27 12:16 . 2009-02-12 19:35        26624        ----a-w-        c:\windows\system32\userinit.exe
2011-03-07 05:33 . 2009-02-12 11:55        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2009-02-12 19:35        434176        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2009-02-12 19:35        1858048        ----a-w-        c:\windows\system32\win32k.sys
2011-02-17 13:51 . 2009-02-12 19:35        672768        ----a-w-        c:\windows\system32\wininet.dll
2011-02-17 13:51 . 2009-02-12 19:35        61952        ----a-w-        c:\windows\system32\tdc.ocx
2011-02-17 13:51 . 2009-02-12 19:35        81920        ----a-w-        c:\windows\system32\ieencode.dll
2011-02-17 13:50 . 2009-02-12 19:35        371200        ----a-w-        c:\windows\system32\html.iec
2011-02-17 13:18 . 2009-02-12 19:35        455936        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2009-02-12 19:35        357888        ----a-w-        c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2010-08-13 16:44        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2009-02-12 19:35        290432        ----a-w-        c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2009-02-12 19:35        270848        ----a-w-        c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2009-02-12 19:35        186880        ----a-w-        c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2009-02-12 19:35        978944        ----a-w-        c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2009-02-12 19:35        974848        ----a-w-        c:\windows\system32\mfc42u.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\programme\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"DMHotKey"="c:\programme\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SamsungWInClon]
c:\programme\Samsung\Samsung Recovery Solution III\WCScheduler [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
2004-08-22 15:05        81920        ----a-w-        d:\programme\Daemon-Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00        98304        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 16:33        141600        ----a-w-        d:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 20:17        52256        ----a-w-        d:\programme\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MagicKeyboard]
2006-05-14 18:00        151552        ----a-w-        c:\programme\Samsung\MagicKBD\PreMKbd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 19:01        71216        ----a-w-        d:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-02-12 12:01        36972        ----a-w-        c:\programme\Java\jre1.5.0\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePSTShortCut]
2009-04-07 13:13        210216        ----a-w-        d:\programme\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Programme\\ICQ\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
.
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [23.06.2009 17:34 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [23.06.2009 17:34 5248]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [09.09.2009 18:09 64288]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.09.2009 11:46 721904]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [12.02.2009 14:01 4300]
R2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32mpcoinst,serviceStartProc --> RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [?]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14.01.2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [12.02.2009 14:05 238464]
S3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\drivers\fantom.sys [09.11.2007 12:42 39424]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{131adce5-600d-11de-a772-001377f35e64}]
\Shell\AutoRun\command - f:\0data\cbs.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecca172c-df58-11df-aa4d-00234efa3e79}]
\Shell\AutoRun\command - F:\Install_Nokia_Ovi_Suite.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecca172e-df58-11df-aa4d-00234efa3e79}]
\Shell\AutoRun\command - F:\NokiaPCIA_Autorun.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uInternet Settings,ProxyServer = http=127.0.0.1:52283
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\xrvgx671.default\
FF - prefs.js: browser.startup.homepage - www.google.de/news
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Zynga Community Toolbar: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - %profile%\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
FF - Ext: XULRunner: {A64DE312-AB79-4C74-AD20-3A495AE05191} - c:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\{A64DE312-AB79-4C74-AD20-3A495AE05191}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKU-Default-Run-portwexexe.exe - c:\portwexexe\portwexexe.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-03 18:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD1600BEVT-35ZCT1 rev.11.01A11 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
error: Read  Ein an das System angeschlossenes Gerät funktioniert nicht.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x89A5057B
user & kernel MBR OK
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Bonjour\mDNSResponder.exe
d:\programme\Cisco VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-03  18:57:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-03 16:57
.
Vor Suchlauf: 8 Verzeichnis(se), 18.618.462.208 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 16.459.276.288 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6A9F78FC95DB983203961CD3A0AEA557

Malware Bytes:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6455

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.04.2011 12:43:34
mbam-log-2011-04-27 (12-43-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135358
Laufzeit: 3 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Infizierte Dateien:
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Johannes\lokale einstellungen\Temp\mnwxaoecsr.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Johannes\lokale einstellungen\Temp\Jwc.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Johannes\lokale einstellungen\Temp\Jwb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\null0.8880497973876145.exe (Trojan.FakeMS.VGen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\jar_cache6065237839544185505.tmp (Trojan.FakeMS.VGen) -> Delete on reboot.
c:\WINDOWS\Temp\jar_cache1098585585153392015.tmp (Trojan.FakeMS.VGen) -> Delete on reboot.
c:\WINDOWS\Temp\gphf\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6462

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.04.2011 14:11:04
mbam-log-2011-04-28 (14-11-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135226
Laufzeit: 3 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\WINDOWS\Temp\yrti\setup.exe (Spyware.Passwords.XGen) -> 3916 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Infizierte Dateien:
c:\WINDOWS\Temp\yrti\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6474

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.04.2011 14:45:09
mbam-log-2011-04-30 (14-45-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 229659
Laufzeit: 1 Stunde(n), 1 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Infizierte Dateien:
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6474

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02.05.2011 20:37:35
mbam-log-2011-05-02 (20-37-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136007
Laufzeit: 2 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
So das warn alle, bei denen er seit dem Auftreten was gefunden hat. Zwischendrin warn dann auch welche, wo er gar nichts gefunden hat.

Gruß

markusg 03.05.2011 18:11
du hast zusätzlich sogar noch ein tdss rootkit.
das wäre schon der zweite grund platt zu machen.
beginne mit der daten sicherung.
- instalationsdateien, musik, bilder dokumente.
emails gehen auch.
keine keygens oder sonstige dateien die du aus illegalen quellen haben könntest.

frage:
nutzt du ne recovery cd, windows cd oder recovery partition.
weist du, wie das mit dem formatieren funktioniert oder benötigst du eine anleitung dazu.
wie man das system dann absichert, erkläre ich, wie gesagt.

yariel 03.05.2011 18:26
muh das wird ja immer besser... zur datensicherung hab ich ne frage, kann ich das zeug auf ne externe festplatte machen? oder geht das zb nur auf dvd/cd, weil hab mal gelesen, dass manche von den fiesen schweinen auch da irgendwas hinstecken können und dann irgendwann wieder ins system einschleusen.
keygens oder so hab ich eigentlich gar keine.
hatte vor, mir dann komplett neu windows 7 draufzumachen, per windows cd. hab allerdings noch nie alleine windows neu aufgesetzt, also bräuchte ich schon ne anleitung wie ich das am besten mache.

danke dir schonmal für deine hilfe =)

gruß

markusg 03.05.2011 19:10
das mit den keygens nicht falsch verstehen, das ist keine behauptung die ich aufstelle weil ich dir was unterstellen will, sondern nur ein hinweis.
du kannst auf dvds sichern, falls es aber zu viel ist.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
autorun aus, und dann platte anschließen.

yariel 03.05.2011 19:25
autorun is bei mir immer aus, aber die platte war auch dran als das problem aufgetreten ist, ist es also möglich, dass sie infiziert ist? gibts ne möglichkeit das mit sicherheit zu überprüfen? nene hab ich nich falsch verstanden
Gruß

markusg 03.05.2011 19:32
wenn autorun aus ist passt das.
wir prüfen die platte aber auf dem neuen sysem nach absicherungsmaßnamen.

yariel 03.05.2011 19:37
gut dann werd ich mal sichern, dauert vermutlich :> ich meld mich wenn alles auf der platte ist

markusg 03.05.2011 19:55
gut. bin heut net mehr so lang online, also dann morgen

yariel 03.05.2011 20:06
alles klar, dann bis morgen, gute nacht

yariel 04.05.2011 09:10
ok nun ist alles gesichert, bin bereit für den nächsten schritt:blabla:

markusg 04.05.2011 17:36
nutzt du eine recovery cd, recovery partition oder windows cd?
weist du wie das mit dem formatieren abläuft oder benötigst du da auch ne anleitung?

yariel 04.05.2011 18:06
ich nutze ne windows cd. hab bisher noch nie formatiert, ne anleitung wär gut

markusg 04.05.2011 18:21
lege die windows cd ein, starte neu.
entweder du kannst direkt von cd starten, oder du musst ins bootmenü
ist bei den meisten pcs f2 f9 f11 oder f12
falls nicht auch mal die anderen f-tasten versuchen.
dort dann das cd/dvd laufwerk wählen.
falls dies nicht klappt, gehe ins bios, bei vielen pcs mit entf zu erreichen.
dort suche first boot device. wähle cd/dvd aus, safe und neustarten.
jetzt folge bis zu den partitionen.
wähle die partition auf die windows soll und formatiere diese zuerst.
nicht die schnell formatierung bitte!
falls bei der instalation daten nach windows.old sollen ist etwas beim formatieren schief gelaufen
instaliere jetzt windows, nutze evtl. vorhandene treiber cds.
danach:
http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für xp abarbeiten.
anmerkungen meiner seits:
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.


als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.

wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.

yariel 04.05.2011 18:27
hui, da liegt ja einiges an arbeit vor mir... dank dir schonmal vielmals für deine mühen, ich mach mich mal direkt dran und schau wie weit ich komme ;)

markusg 04.05.2011 18:30
genau, wir machen das schon zusammen.
ist zwar viel arbeit, aber am ende wirds sich lohnen.

yariel 04.05.2011 18:58
hmm kurze zwischenfrage, irgendwie gabs da nur einen formatieren-button, und das war irgendwie so dass ich draufgeklickt hab, und schwups wars "formatiert", das kann doch nicht richtig sein oder? (windows 7)

markusg 04.05.2011 19:36
a du nutzt win7, sorry dann vergiss erst mal was ich oben über die tipps für xp geschrieben hab, deine sind die für windows 7 bzw vista.
außer das servicepack2 für vista.
unter der windows xp anleitung stehen secunia file hippo und dann autorun deaktivieren und panda usb. die musst du mit einbeziehen.
bei vista geht das mit dem formatieren sehr schnell.
probier mal zu instalieren.
so lange keine meldung kommt, daten werden nach windows.old verschoben, ist alles in butter.

yariel 04.05.2011 21:47
puuhh, so jetzt hab ich alles abgearbeitet, wie genau geh ich jetzt vor zb wegen meiner externen festplatte, kann ich die schon ohne bedenken anschließen wegen dem panda vaccinator ?

markusg 05.05.2011 10:27
ok, dann gehe jetzt in das eingeschrenkte nutzerkonto, schließe die platte an.
avira hast du ja konfiguriert.
update jetzt avira. öffne avira, klicke lokaler schutz, lokale laufwerke.
damit scannen wir gleich mal den pc + die festplatte.

yariel 05.05.2011 18:37
oki, avira ist fertig, hat nichts gefunden :applaus: was muss ich noch testen?

markusg 05.05.2011 19:04
poste das avira log bitte. zu finden unter avira, berichte

yariel 05.05.2011 19:10
hoffentlich hab ich auch alles richtig eingestellt gehabt

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 5. Mai 2011  18:42

Es wird nach 2691906 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : Joh-Arbeit
Computername  : JOH-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648    31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE    : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  01.04.2011 15:07:22
LUKE.DLL      : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 20:22:57
VBASE004.VDF  : 7.11.5.226      2048 Bytes  07.04.2011 20:22:57
VBASE005.VDF  : 7.11.5.227      2048 Bytes  07.04.2011 20:22:57
VBASE006.VDF  : 7.11.5.228      2048 Bytes  07.04.2011 20:22:57
VBASE007.VDF  : 7.11.5.229      2048 Bytes  07.04.2011 20:22:58
VBASE008.VDF  : 7.11.5.230      2048 Bytes  07.04.2011 20:22:58
VBASE009.VDF  : 7.11.5.231      2048 Bytes  07.04.2011 20:22:58
VBASE010.VDF  : 7.11.5.232      2048 Bytes  07.04.2011 20:22:58
VBASE011.VDF  : 7.11.5.233      2048 Bytes  07.04.2011 20:22:58
VBASE012.VDF  : 7.11.5.234      2048 Bytes  07.04.2011 20:22:58
VBASE013.VDF  : 7.11.6.28    158208 Bytes  11.04.2011 20:22:58
VBASE014.VDF  : 7.11.6.74    116224 Bytes  13.04.2011 20:22:58
VBASE015.VDF  : 7.11.6.113    137728 Bytes  14.04.2011 20:22:58
VBASE016.VDF  : 7.11.6.150    146944 Bytes  18.04.2011 20:22:58
VBASE017.VDF  : 7.11.6.192    138240 Bytes  20.04.2011 20:22:58
VBASE018.VDF  : 7.11.6.237    156160 Bytes  22.04.2011 20:22:58
VBASE019.VDF  : 7.11.7.45    427520 Bytes  27.04.2011 20:22:59
VBASE020.VDF  : 7.11.7.64    192000 Bytes  28.04.2011 20:22:59
VBASE021.VDF  : 7.11.7.97    182272 Bytes  02.05.2011 20:22:59
VBASE022.VDF  : 7.11.7.127    467968 Bytes  04.05.2011 20:23:00
VBASE023.VDF  : 7.11.7.138      2048 Bytes  04.05.2011 20:23:00
VBASE024.VDF  : 7.11.7.139      2048 Bytes  04.05.2011 20:23:00
VBASE025.VDF  : 7.11.7.140      2048 Bytes  04.05.2011 20:23:00
VBASE026.VDF  : 7.11.7.141      2048 Bytes  04.05.2011 20:23:00
VBASE027.VDF  : 7.11.7.142      2048 Bytes  04.05.2011 20:23:00
VBASE028.VDF  : 7.11.7.143      2048 Bytes  04.05.2011 20:23:00
VBASE029.VDF  : 7.11.7.144      2048 Bytes  04.05.2011 20:23:00
VBASE030.VDF  : 7.11.7.145      2048 Bytes  04.05.2011 20:23:00
VBASE031.VDF  : 7.11.7.160    83456 Bytes  05.05.2011 16:36:16
Engineversion  : 8.2.4.228
AEVDF.DLL      : 8.1.2.1      106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL  : 8.1.3.61    1253754 Bytes  05.05.2011 16:37:00
AESCN.DLL      : 8.1.7.2      127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.1.3.2      254324 Bytes  28.03.2011 14:14:53
AERDL.DLL      : 8.1.9.9      639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL    : 8.2.6.0      549237 Bytes  04.05.2011 20:23:03
AEOFFICE.DLL  : 8.1.1.22      205178 Bytes  05.05.2011 16:36:51
AEHEUR.DLL    : 8.1.2.113    3494263 Bytes  05.05.2011 16:36:50
AEHELP.DLL    : 8.1.16.1      246134 Bytes  28.03.2011 14:14:46
AEGEN.DLL      : 8.1.5.4      397684 Bytes  04.05.2011 20:23:01
AEEMU.DLL      : 8.1.3.0      393589 Bytes  28.03.2011 14:14:45
AECORE.DLL    : 8.1.20.2      196982 Bytes  04.05.2011 20:23:00
AEBB.DLL      : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL    : 10.0.0.0      44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.9      174120 Bytes  04.05.2011 20:23:03
AVREG.DLL      : 10.0.3.2      53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2      84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL    : 10.0.22.6    231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0      11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: D:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 5. Mai 2011  18:42

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SandboxieDcomLaunch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SandboxieRpcSs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbieCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '362' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\' <Expansion Drive>


Ende des Suchlaufs: Donnerstag, 5. Mai 2011  19:28
Benötigte Zeit: 45:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  13497 Verzeichnisse wurden überprüft
 439696 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 439696 Dateien ohne Befall
  1549 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
  20074 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132