Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner: system-plugin an der adresse ... Kritischer fehler (https://www.trojaner-board.de/100433-trojaner-system-plugin-adresse-kritischer-fehler.html)

Sib123 17.06.2011 17:47
Trojaner: system-plugin an der adresse ... Kritischer fehler
 
Hallo,
Ich hab mir vor 2 tagen einen blöden trojaner eingefange..
Der pc läd hoch und dann kommt ein blauer bildschirm mit folgendem inhalt:
System plugin an der adresse 0xE4783995 kritischer fehler wurde, folgen sie bitte diesen schritten, um sie zu deaktivieren.

1. Rufen sie eines der folgenden nr. an
(da stehn dann ca. 10 nummern)

2. Kennung vom anruf merken und in die lücken bei 3. Eintippen.


Ich hab das ganze auch im abgesicherten modus getan, kommt aber das selbe bildschirm

Da ich wichtige datein, bilder etc auf dem pc habe, möchte ich es nicht neu formatieren.....

Ich hoffe ihr könnt mir helfen.. Vielen Dank im voraus!

markusg 17.06.2011 17:56
hi, blos nicht anrufen!
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Sib123 20.06.2011 14:52
OTL Logfile:
Code:
OTL logfile created on: 6/20/2011 1:17:42 AM - Run
OTLPE by OldTimer - Version 3.1.46.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 82.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 144.77 Gb Total Space | 107.34 Gb Free Space | 74.15% Space Free | Partition Type: NTFS
Drive H: | 4.26 Gb Total Space | 0.63 Gb Free Space | 14.68% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (KwinzySrch Service)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/06/14 19:27:00 | 000,507,392 | ---- | M] (Simon Tatham) [Auto] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
SRV - [2011/06/14 19:26:52 | 000,197,632 | ---- | M] (ke) [Auto] -- C:\WINDOWS\system32\drivers\svajnager.exe -- (svajnag)
SRV - [2010/10/15 19:40:40 | 000,037,664 | -H-- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009/09/29 10:18:42 | 000,809,736 | -H-- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
SRV - [2009/08/05 16:43:53 | 000,185,089 | -H-- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/06/11 06:48:11 | 000,108,289 | -H-- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/05/14 12:07:12 | 000,759,048 | -H-- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.9.0)
SRV - [2009/04/30 10:01:10 | 000,154,136 | -H-- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2008/11/03 20:06:28 | 000,441,712 | -H-- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | -H-- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/03/03 16:03:10 | 000,069,632 | -H-- | M] (HP) [Auto] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2005/10/19 13:19:10 | 000,049,152 | -H-- | M] (Alpha Networks Inc.) [Auto] -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe -- (ANIWZCSdService)
SRV - [2005/08/09 06:27:56 | 001,019,904 | -H-- | M] (Language Engineering Corporation, LLC) [On_Demand] -- C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe -- (LEC TranslateDotNet Server)
SRV - [2004/08/03 15:00:00 | 000,072,192 | ---- | M] () [Auto] -- C:\WINDOWS\system32\wfwfrncl.dll -- (nomxhkvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (ZSMC301b)
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (NSNDIS5)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (intelppm)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/12/07 15:42:36 | 000,056,816 | -H-- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/06/11 06:48:11 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/05/24 07:05:36 | 000,096,104 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/04/30 19:03:30 | 000,023,832 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2009/04/30 19:03:08 | 006,754,712 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech Webcam 250(UVC)
DRV - [2009/04/30 19:01:36 | 000,265,496 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009/04/30 19:00:00 | 000,114,712 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvpopflt.sys -- (lvpopflt)
DRV - [2009/04/30 10:00:12 | 000,025,624 | -H-- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2009/02/13 05:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006/01/10 13:54:22 | 001,421,312 | -H-- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/12/12 11:27:00 | 000,019,072 | -H-- | M] (Hewlett-Packard Company) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PS2.sys -- (Ps2)
DRV - [2005/11/09 10:44:48 | 000,024,288 | -H-- | M] (Alpha Networks Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\ANIO.sys -- (ANIO)
DRV - [2005/11/03 15:39:02 | 000,245,504 | -H-- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Dr71WU.sys -- (RT73)
DRV - [2004/11/30 21:54:56 | 000,306,560 | -H-- | M] (PCTEL Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PCTELSAP.SYS -- (PRISM_A00)
DRV - [2004/10/27 23:40:30 | 000,335,360 | -H-- | M] (ASUSTek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Cap7134.sys -- (Cap7134)
DRV - [2004/10/24 18:35:00 | 000,024,544 | -H-- | M] (ASUSTek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PhTVTune.sys -- (PhTVTune)
DRV - [2004/10/01 20:24:02 | 002,279,424 | -H-- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/08/04 07:31:36 | 000,032,768 | -H-- | M] (SiS Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2003/09/19 02:47:00 | 000,010,368 | -H-- | M] (Padus, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
DRV - [2002/10/04 20:04:10 | 000,046,976 | -H-- | M] (Realtek Semiconductor Corporation      ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)
DRV - [2002/07/17 04:05:10 | 000,016,512 | -H-- | M] (Adaptec) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (ASPI)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = file://C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ws.js
 
 
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de-de.facebook.com/
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5016 [2011/06/08 16:15:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{E2E00CDE-7A12-4050-A7CA-68FC8218FA2C}: C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{E2E00CDE-7A12-4050-A7CA-68FC8218FA2C} [2011/05/07 17:43:42 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010/11/15 18:02:49 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/11/15 18:02:48 | 000,000,000 | -H-D | M]
 
[2011/01/14 13:30:04 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009/09/30 16:14:30 | 000,000,000 | -H-D | M] (Kwinzy) -- C:\Programme\Mozilla Firefox\extensions\{52EF0988-5232-4465-86E7-6434B5891030}
[2010/03/31 08:19:29 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/03/31 08:19:29 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/09/30 16:14:32 | 000,002,381 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\kwinzy141.xml
[2010/03/31 08:19:30 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/03/31 08:19:30 | 000,000,986 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/03/31 08:19:30 | 000,000,801 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/09/06 13:46:23 | 000,000,822 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {25205a8b-f8c9-eae0-ac68-c8f868bfc8ed} -  File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (Adobe PDF Reader Link Helper) - {C689C99E-3A8C-4c87-A79C-C80DC9C81632} -  File not found
O2 - BHO: (PriceGongCtrl Class) - {D2A2595C-4FE4-4315-AA9B-19DBD6271B71} - C:\Programme\PriceGong\1.2.0\PriceGongIE.dll (PriceGong)
O2 - BHO: () - {D55EE90F-E559-192B-44B5-5093633BE561} - C:\WINDOWS\system32\wfwfrncl.dll ()
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKLM\..\Toolbar: (LEC) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll (Language Engineering Corporation, LLC)
O3 - HKLM\..\Toolbar: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\Administrator.KAVEI-DELAMY_ON_C\..\Toolbar\ShellBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\Administrator.KAVEI-DELAMY_ON_C\..\Toolbar\WebBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\ShellBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\WebBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Bonus.SSR.FR10] C:\Programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.)
O4 - HKLM..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [LSBWatcher] C:\hp\drivers\hplsbwatcher\LSBurnWatcher.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe ()
O4 - HKLM..\Run: [Prunan]  File not found
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WINREMOTE] C:\Programme\InterVideo\Common\Bin\WinRemote.exe (InterVideo Inc.)
O4 - HKU\.DEFAULT..\Run: [9E6XYH0W3DYGZF8EYRDJ] C:\iduhsfuisdf\28ED2723A64.exe (Trend Micro Inc.)
O4 - HKU\.DEFAULT..\Run: [Reguser]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [{89D799AA-D7BD-2B63-95D8-22FDF939AC13}]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [{D7730D81-867F-4376-00F2-B0F54AA3700B}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe (Mozilla Foundation)
O4 - HKU\HP_Besitzer_ON_C..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [3EFB0E1E7E2F52CE]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [4ECYTQ9SIC] C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [4W1W8B7A1IVJUZ4WRROJW]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Logitech Vid] C:\Programme\Logitech\Logitech Vid\vid.exe (Logitech Inc.)
O4 - HKU\HP_Besitzer_ON_C..\Run: [NuHveRXdmtu]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Recycle.Bin.exe]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Reguser]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Rrakogut]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [uckyfgec]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Umzyzs] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe ()
O4 - HKU\LocalService_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\aadrive32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.KAVEI-DELAMY_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} hxxp://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab (MSN Photo Upload Tool)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} hxxp://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab (Windows Live Hotmail Photo Upload Tool)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe (The OpenSSL Project, hxxp://www.openssl.org/)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\welcome.htm
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\welcome.htm
O27 - HKLM IFEO\userinit.exe: Debugger - defze.exe (Jur Software htt://Opapuqiqu.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/11/03 04:05:56 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001/07/28 06:07:38 | 000,000,000 | -HS- | M] () - H:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004/04/30 22:01:14 | 000,000,053 | -HS- | M] () - H:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/06/14 19:28:13 | 000,000,000 | ---D | C] -- C:\spoolerlogs
[2011/06/14 19:27:00 | 000,507,392 | ---- | C] (Simon Tatham) -- C:\WINDOWS\System32\sshnas21.dll
[2011/06/14 19:26:52 | 000,197,632 | ---- | C] (ke) -- C:\WINDOWS\System32\drivers\svajnager.exe
[2011/06/14 19:26:23 | 000,061,490 | ---- | C] (The OpenSSL Project, hxxp://www.openssl.org/) -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
[2011/06/14 19:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus
[2011/06/14 19:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy
[2011/06/13 13:12:13 | 000,162,304 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.6973532258229606.exe
[2011/06/11 17:45:36 | 000,152,064 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.8468285401950438.exe
[2011/06/08 16:15:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5016
[2011/05/31 12:28:28 | 000,236,496 | ---- | C] (Adobe Systems, Incorporated) -- C:\WINDOWS\System32\AcroIEHelpe029.dll
[2011/05/30 11:36:54 | 000,061,440 | ---- | C] (Comp) -- C:\WINDOWS\System32\0.581376866970279.exe
[2011/05/30 10:00:10 | 000,161,280 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.21567625939442403.exe
[7 C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/06/19 18:08:24 | 000,000,258 | -H-- | M] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/19 18:08:22 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/19 18:08:18 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/06/19 18:07:59 | 000,001,086 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011/06/19 18:07:58 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\PCConfidential.job
[2011/06/19 18:07:41 | 000,001,158 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/06/19 18:07:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/06/19 18:07:35 | 1609,093,120 | -HS- | M] () -- C:\hiberfil.sys
[2011/06/17 12:26:03 | 000,001,090 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011/06/17 12:21:00 | 000,000,360 | -H-- | M] () -- C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
[2011/06/14 19:44:43 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\_time
[2011/06/14 19:42:46 | 000,000,249 | -H-- | M] () -- C:\WINDOWS\System\hpsysdrv.dat
[2011/06/14 19:27:48 | 000,139,776 | RHS- | M] () -- C:\WINDOWS\aadrive32.exe
[2011/06/14 19:27:02 | 000,234,496 | ---- | M] () -- C:\WINDOWS\Lhynaa.exe
[2011/06/14 19:27:00 | 000,507,392 | ---- | M] (Simon Tatham) -- C:\WINDOWS\System32\sshnas21.dll
[2011/06/14 19:26:53 | 000,000,017 | ---- | M] () -- C:\WINDOWS\keys.ini
[2011/06/14 19:26:52 | 000,197,632 | ---- | M] (ke) -- C:\WINDOWS\System32\drivers\svajnager.exe
[2011/06/14 19:26:38 | 000,196,608 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
[2011/06/14 19:26:19 | 000,061,490 | ---- | M] (The OpenSSL Project, hxxp://www.openssl.org/) -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
[2011/06/13 13:12:14 | 000,162,304 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.6973532258229606.exe
[2011/06/13 13:12:05 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/06/11 17:45:46 | 000,152,064 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.8468285401950438.exe
[2011/06/11 14:08:41 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\0.8005132598110744.exe
[2011/06/08 11:54:51 | 000,212,992 | ---- | M] () -- C:\WINDOWS\System32\0.3856541926551633.exe
[2011/06/08 11:54:51 | 000,212,992 | ---- | M] () -- C:\WINDOWS\System32\0.003789571132371994.exe
[2011/05/31 12:34:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{A8BCEB87-3E87-4AB5-84BD-AF950002DD54}
[2011/05/31 12:28:28 | 000,236,496 | ---- | M] (Adobe Systems, Incorporated) -- C:\WINDOWS\System32\AcroIEHelpe029.dll
[2011/05/30 11:36:55 | 000,061,440 | ---- | M] (Comp) -- C:\WINDOWS\System32\0.581376866970279.exe
[2011/05/30 10:48:21 | 000,000,120 | -H-- | M] () -- C:\WINDOWS\Klipex.dat
[2011/05/30 10:48:21 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\Ywugofeginukif.bin
[2011/05/30 10:11:13 | 000,161,280 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.21567625939442403.exe
[2011/05/23 17:17:14 | 000,002,942 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\50cent.jpg
[2011/05/22 12:18:19 | 000,017,920 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ijopj.wps
[7 C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/06/17 12:12:14 | 1609,093,120 | -HS- | C] () -- C:\hiberfil.sys
[2011/06/14 19:44:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\_time
[2011/06/14 19:27:57 | 000,139,776 | RHS- | C] () -- C:\WINDOWS\aadrive32.exe
[2011/06/14 19:27:24 | 000,234,496 | ---- | C] () -- C:\WINDOWS\Lhynaa.exe
[2011/06/14 19:27:21 | 000,000,300 | -H-- | C] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/06/14 19:27:14 | 000,000,300 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/14 19:27:09 | 000,000,258 | -H-- | C] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/14 19:27:00 | 000,196,608 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
[2011/06/14 19:26:53 | 000,000,017 | ---- | C] () -- C:\WINDOWS\keys.ini
[2011/06/11 14:08:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\0.8005132598110744.exe
[2011/06/08 11:54:47 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\0.3856541926551633.exe
[2011/06/08 11:54:47 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\0.003789571132371994.exe
[2011/05/31 12:34:14 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{A8BCEB87-3E87-4AB5-84BD-AF950002DD54}
[2011/05/23 17:17:25 | 000,002,942 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\50cent.jpg
[2011/05/22 12:18:19 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ijopj.wps
[2011/05/11 03:22:54 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{92EDAD45-03D4-4A0E-8981-2EBFE810854B}
[2011/05/07 17:43:43 | 000,000,120 | -H-- | C] () -- C:\WINDOWS\Klipex.dat
[2011/05/07 17:43:43 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\Ywugofeginukif.bin
[2011/05/07 17:41:48 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\2gweorjqjutp92vjy9gake
[2011/04/08 14:53:14 | 000,018,692 | -HS- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\4pkdd17j52h322m0wdwe80gcx41k37ott
[2011/04/08 14:53:14 | 000,018,692 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4pkdd17j52h322m0wdwe80gcx41k37ott
[2011/03/15 13:11:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/11/16 18:28:46 | 000,067,436 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/05/13 10:33:44 | 000,015,360 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/27 15:40:19 | 000,000,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/04/27 14:51:58 | 000,082,289 | RH-- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010/04/27 14:42:11 | 000,003,267 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec.dat
[2010/04/27 14:41:32 | 000,004,874 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec_navps.dat
[2010/04/25 15:32:07 | 000,000,141 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/03/11 14:09:49 | 000,000,060 | -H-- | C] () -- C:\WINDOWS\wininit.ini
[2010/02/09 19:04:46 | 000,049,152 | -H-- | C] () -- C:\WINDOWS\System32\JJAKEn.dll
[2009/06/22 11:01:15 | 000,002,508 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\$_hpcst$.hpc
[2009/05/08 04:13:04 | 000,013,584 | -H-- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2009/04/30 10:00:12 | 000,025,624 | -H-- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2009/04/16 18:10:04 | 000,571,090 | -H-- | C] () -- C:\WINDOWS\gecryptete.exe
[2008/12/09 11:23:13 | 000,047,616 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe
[2008/07/30 14:41:56 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2008/03/03 15:57:02 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\MSDraw.ini
[2008/01/22 16:45:18 | 000,000,754 | -H-- | C] () -- C:\WINDOWS\WORDPAD.INI
[2008/01/03 17:02:26 | 000,077,824 | RH-- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll
[2008/01/03 16:56:24 | 000,129,054 | -H-- | C] () -- C:\WINDOWS\hpoins11.dat.temp
[2008/01/03 16:56:24 | 000,011,634 | -H-- | C] () -- C:\WINDOWS\hpomdl11.dat.temp
[2007/12/24 15:39:22 | 000,129,024 | -H-- | C] () -- C:\WINDOWS\System32\AVERM.dll
[2007/12/24 15:39:22 | 000,028,672 | -H-- | C] () -- C:\WINDOWS\System32\AVEQT.dll
[2007/12/23 10:14:16 | 000,003,341 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007/12/18 11:15:47 | 000,000,215 | -H-- | C] () -- C:\WINDOWS\holdemg.ini
[2007/12/16 10:28:16 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2007/11/09 16:42:05 | 000,129,054 | -H-- | C] () -- C:\WINDOWS\hpoins11.dat
[2007/09/27 11:25:25 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\FilmeFuerUnterwegs.INI
[2007/08/29 10:56:10 | 000,041,790 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
[2007/08/28 14:55:33 | 000,000,050 | -H-- | C] () -- C:\WINDOWS\cdplayer.ini
[2007/07/26 20:40:59 | 000,000,012 | -H-- | C] () -- C:\WINDOWS\bthservsdp.dat
[2007/07/14 11:26:04 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007/07/14 11:26:04 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007/07/14 11:26:04 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007/07/14 11:26:04 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007/07/14 11:25:57 | 000,004,490 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007/07/14 11:25:46 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007/07/14 11:25:43 | 000,152,832 | ---- | C] () -- C:\WINDOWS\System32\coufowzk.dat
[2007/07/14 11:25:43 | 000,136,960 | ---- | C] () -- C:\WINDOWS\System32\dvshvvyo.dat
[2007/07/14 11:25:43 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\wfwfrncl.dll
[2007/07/14 11:25:43 | 000,034,048 | ---- | C] () -- C:\WINDOWS\System32\jeerqmsl.dat
[2007/07/14 11:25:33 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[2007/07/14 11:24:50 | 000,014,336 | -H-- | C] () -- C:\WINDOWS\System32\msdmo(2).dll
[2007/07/14 11:24:38 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007/07/14 11:24:37 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2007/07/14 11:22:18 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007/07/14 11:19:20 | 000,001,804 | -H-- | C] () -- C:\WINDOWS\System32\dcache.bin
[2007/07/14 05:50:34 | 000,000,132 | -H-- | C] () -- C:\WINDOWS\ODBC.INI
[2007/04/19 16:33:37 | 000,011,634 | -H-- | C] () -- C:\WINDOWS\hpomdl11.dat
[2005/12/22 09:44:30 | 000,112,425 | -H-- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2005/11/16 13:21:34 | 000,002,048 | -H-- | C] () -- C:\WINDOWS\System32\drivers\rt73.bin
[2005/08/30 13:26:53 | 000,000,061 | -H-- | C] () -- C:\WINDOWS\smscfg.ini
[2005/08/30 12:59:14 | 000,013,844 | -H-- | C] () -- C:\WINDOWS\System32\CHODDI.SYS
[2005/08/30 12:59:09 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\hpreg.dll
[2005/08/30 12:52:28 | 000,204,800 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2005/08/30 12:52:28 | 000,200,704 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2005/08/30 12:52:28 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2005/08/30 12:52:28 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2005/08/30 12:52:28 | 000,188,416 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2005/08/30 12:52:27 | 000,020,480 | -H-- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2005/08/30 12:45:22 | 000,104,131 | -H-- | C] () -- C:\WINDOWS\hpoins04.dat
[2005/08/30 12:45:22 | 000,016,939 | -H-- | C] () -- C:\WINDOWS\hpomdl04.dat
[2005/08/30 12:44:28 | 000,086,542 | -H-- | C] () -- C:\WINDOWS\hpiins01.dat
[2005/08/30 12:44:28 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\hpimdl01.dat
[2005/08/30 12:43:03 | 000,094,344 | -H-- | C] () -- C:\WINDOWS\HPHins03.dat
[2005/08/30 12:43:03 | 000,002,655 | -H-- | C] () -- C:\WINDOWS\hphmdl03.dat
[2005/08/30 12:40:40 | 000,051,056 | -H-- | C] () -- C:\WINDOWS\hpdins03.dat
[2005/08/30 12:40:40 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\hpdmdl01.dat
[2005/08/30 12:37:53 | 000,003,776 | -H-- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005/08/30 12:34:07 | 000,001,040 | -H-- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat
[2005/08/30 12:26:50 | 000,000,849 | -H-- | C] () -- C:\WINDOWS\orun32.ini
[2005/03/17 21:20:49 | 000,323,584 | -H-- | C] () -- C:\WINDOWS\System32\pythoncom22.dll
[2005/03/17 21:20:49 | 000,094,208 | -H-- | C] () -- C:\WINDOWS\System32\pywintypes22.dll
[2005/03/17 21:20:28 | 000,016,896 | -H-- | C] () -- C:\WINDOWS\System32\bcbmm.dll
[2004/11/03 04:13:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/11/03 04:10:36 | 000,464,174 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/11/03 04:10:36 | 000,445,506 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/11/03 04:10:36 | 000,086,406 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/11/03 04:10:36 | 000,072,712 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/11/03 04:08:40 | 000,290,088 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/11/03 04:05:34 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/11/03 04:03:38 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/14 02:35:56 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\px.ini
[2004/08/19 20:14:46 | 000,086,016 | -H-- | C] () -- C:\WINDOWS\System32\PcdrKernelModeServices.dll
[2004/08/19 20:14:46 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\ProgressTrace.dll
[2004/08/04 21:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/06/07 21:32:52 | 000,009,505 | -H-- | C] () -- C:\WINDOWS\System32\hphmon06.dat
[2003/04/10 16:04:00 | 000,028,672 | -H-- | C] () -- C:\WINDOWS\System32\JAWTAccessBridge.dll
[2002/09/21 02:19:34 | 000,001,202 | -H-- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2001/07/06 22:00:00 | 000,003,254 | -H-- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI
 
========== LOP Check ==========
 
[2005/08/30 12:53:04 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Intervideo
[2005/08/30 13:06:47 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\SampleView
[2010/07/04 11:23:32 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Softland
[2005/08/30 12:53:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Anwendungsdaten\Intervideo
[2005/08/30 13:06:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Anwendungsdaten\SampleView
[2010/07/01 20:21:33 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Softland
[2011/05/15 16:55:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Visfree
[2007/07/17 15:43:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
[2007/12/16 10:52:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
[2009/06/25 16:17:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Games-Attack
[2008/06/21 15:14:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2009/10/04 07:58:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KwinzySrch
[2007/10/25 10:47:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2007/07/27 09:03:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
[2007/10/15 07:51:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vokabeltrainer 3
[2009/06/07 07:27:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winferno
[2007/09/22 17:23:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{35B73D91-1D0C-48C6-B2FA-D27337DAC115}
[2010/11/15 18:09:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010/02/18 16:14:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2007/07/14 05:22:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E6FAE2C0-980F-4256-A99F-9F33E45FE026}
[2011/06/17 12:21:00 | 000,000,360 | -H-- | M] () -- C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job
[2011/06/19 18:07:58 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\Tasks\PCConfidential.job
[2011/06/19 18:08:22 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/19 18:08:24 | 000,000,258 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/19 18:08:18 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---

markusg 20.06.2011 15:00
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
:OTL
O4 - HKU\HP_Besitzer_ON_C..\Run: [Umzyzs] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [4ECYTQ9SIC] C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [{D7730D81-867F-4376-00F2-B0F54AA3700B}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe (Mozilla
Foundation)
O4 - HKU\.DEFAULT..\Run: [9E6XYH0W3DYGZF8EYRDJ] C:\iduhsfuisdf\28ED2723A64.exe (Trend Micro Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
(The OpenSSL Project, hxxp://www.openssl.org/)
:Files
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe

:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Sib123 20.06.2011 21:39
Wenn ich die fix.txt "hochlade" dann kann ich auf das OTLPE nicht mehr zugreifen.. Er reagiert auf kein klick mehr... Ich kann nur noch auf schliessen klicken

markusg 21.06.2011 10:09
dann trage es, wie beschrieben, per hand ein.

Sib123 22.06.2011 14:38
PHP-Code:
========== OTL ==========
Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Umzyzs deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe moved successfully.
Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\4ECYTQ9SIC deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe moved successfully.
Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\12CFG214-K641-12SF-N85P deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe moved successfully.
Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\{D7730D81-867F-4376-00F2-B0F54AA3700Bdeleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7730D81-867F-4376-00F2-B0F54AA3700B}\ not found.
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\9E6XYH0W3DYGZF8EYRDJ deleted successfully.
C:\iduhsfuisdf\28ED2723A64.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe not found.
File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe not found.
File\Folder C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe not found.
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus folder moved successfully.
File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
UserAdministrator
->Temp folder emptied9425 bytes
->Temporary Internet Files folder emptied216480 bytes
 
UserAdministrator.KAVEI-DELAMY
->Temp folder emptied9425 bytes
->Temporary Internet Files folder emptied96669 bytes
 
UserAll Users
 
User: Default User
->Temp folder emptied9425 bytes
->Temporary Internet Files folder emptied32902 bytes
 
UserHP_Besitzer
->Temp folder emptied2261151910 bytes
->Temporary Internet Files folder emptied3012787266 bytes
->Java cache emptied73715396 bytes
->FireFox cache emptied37878289 bytes
->Apple Safari cache emptied7324672 bytes
->Flash cache emptied448238 bytes
 
UserLocalService
->Temp folder emptied65536 bytes
->Temporary Internet Files folder emptied1987254 bytes
->Flash cache emptied405 bytes
 
UserNetworkService
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied126009377 bytes
->Java cache emptied128300 bytes
->Flash cache emptied27144 bytes
 
Total Flash Files Cleaned 5,266.00 mb
 
 
[EMPTYTEMP]
 
UserAdministrator
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
 
UserAdministrator.KAVEI-DELAMY
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
 
UserAll Users
 
User: Default User
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
 
UserHP_Besitzer
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Java cache emptied0 bytes
->FireFox cache emptied0 bytes
->Apple Safari cache emptied0 bytes
->Flash cache emptied0 bytes
 
UserLocalService
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Flash cache emptied0 bytes
 
UserNetworkService
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Java cache emptied0 bytes
->Flash cache emptied0 bytes
 
%systemdrive% .tmp files removed0 bytes
%systemroot% .tmp files removed0 bytes
%systemroot%\System32 .tmp files removed3063 bytes
%systemroot%\System32\dllcache .tmp files removed0 bytes
%systemroot%\System32\drivers .tmp files removed0 bytes
Windows Temp folder emptied77109717 bytes
 
Total Files Cleaned 74.00 mb
 
 
OTLPE by OldTimer Version 3.1.46.0 log created on 06212011_181613 

markusg 22.06.2011 14:39
hi, jetzt den upload im upload channel, folge dazu dem link.
der start in den normalen modus sollte geklappt haben denke ich.

Sib123 22.06.2011 15:00
Hab ich hochgeladen und windows läd auch normal hoch.. Vielen vielen dank bis hierhin :D
Leider hab ich jetzt wo's funktioniert den ms removal tool virus am hals -.-
Hab die anleitung im forum bezüglich des virusus befolgt nur hab ich im abgesicherten modes mit netzwer... Keine internet verbindung

markusg 22.06.2011 15:01
ich hab ja auch nicht geschrieben das du ne andere anleitung befolgen sollst, steht ja deutlich da was zu tun ist.
du kannst combofix, wenn im abgesicherten modus gestartet wurde, von einem sauberen pc auf den infizierten kopieren.

Sib123 22.06.2011 15:09
Ich hab doch die anleitung befolgt und um diesen mc virus zu entfernen hab ich die anleitung befolgt, die im forum steht..
Haben sie denn ein anderen vorschlag?

markusg 22.06.2011 15:33
ja, wenn man hier bereits arbeitet, postet man weitere probleme, anstelle irgend welchen anleitungen zu folgen.

bitte hiermit weiter.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
evtl. im abgesicherten modus.

Sib123 23.06.2011 22:44
ich habe die anweisungen befolg, also alles geschlossen und das antivirenprogramm deaktiviert...
das programm wird aber irgendwie geblockt...
wenn ich ein doppelklick auf die datei mache öffnet sich es für ein bruchteil einer sekunde
das selbe problem trat auch beim editor auf, als ich das ergebnis posten wollte... konnte dies auch nur mit hilfe eines 2. pc´s
ich glaube dieser mc removal tool virus blockiert die programme......

markusg 24.06.2011 10:18
wie siehts im abgesicherten modus ohne netzwerk aus, bei pc start mit f8 zu erreichen.
falls combofix nen neustart will, erneut in den abgesicherten modus ohne netzwerk.
wenn fertig, starte neu, poste
combofix.txt

Sib123 24.06.2011 16:23
Combofix Logfile:
Code:
ComboFix 11-06-22.02 - HP_Besitzer 24.06.2011  16:47:26.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1534.1090 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Besitzer\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator.KAVEI-DELAMY\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\KwinzySrch
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601\pM28601MhHcA28601
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601\pM28601MhHcA28601.exe
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\8E.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\8F.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A0.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A1.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A6.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A7.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc239.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc28.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc5009062.txt
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\shed\thr1.chm
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy\miziy.tif
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy\miziy.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mano\paiq.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec.dat
c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec_navps.dat
c:\dokumente und einstellungen\HP_Besitzer\WINDOWS
c:\programme\KwinzySrch
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe
C:\Washer2.rar
c:\washer2.rar\config.bin
c:\windows\IsUn0407.exe
c:\windows\Lhynaa.exe
c:\windows\system32\0.003789571132371994.exe
c:\windows\system32\0.21567625939442403.exe
c:\windows\system32\0.3856541926551633.exe
c:\windows\system32\0.581376866970279.exe
c:\windows\system32\0.6973532258229606.exe
c:\windows\system32\0.8005132598110744.exe
c:\windows\system32\0.8468285401950438.exe
c:\windows\system32\AcroIEHelpe029.dll
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\kock
c:\windows\system32\xmldm
C:\YouMeetWeWo
c:\youmeetwewo\config.bin
D:\Autorun.inf
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_KWINZYSRCH_SERVICE
-------\Legacy_SSHNAS
-------\Legacy_SVAJNAG
-------\Service_KwinzySrch Service
-------\Service_SSHNAS
-------\Service_svajnag
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-05-24 bis 2011-06-24  ))))))))))))))))))))))))))))))
.
.
2011-06-21 22:21 . 2011-03-06 22:12        2234368        ----a-r-        C:\OTLPE.exe
2011-06-21 22:16 . 2011-06-21 22:33        --------        d-----w-        C:\_OTL
2011-06-21 14:29 . 2011-06-21 14:29        0        ---ha-w-        c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT6.tmp
2011-06-14 23:28 . 2011-06-14 23:28        --------        d-----w-        C:\spoolerlogs
2011-06-14 23:27 . 2011-06-14 23:27        507392        ----a-w-        c:\windows\system32\sshnas21.dll
2011-06-14 23:26 . 2011-06-14 23:26        197632        ----a-w-        c:\windows\system32\drivers\svajnager.exe
2011-06-14 23:26 . 2011-06-14 23:26        64        --sha-w-        c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\svchost.tmp
2011-06-08 20:15 . 2011-06-08 20:15        --------        d-----w-        c:\windows\system32\5016
2011-05-31 16:34 . 2011-05-31 16:34        0        ---ha-w-        c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT3B.tmp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-11 07:23 . 2011-05-11 07:23        0        ---ha-w-        c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT5.tmp
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ---ha-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ---ha-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
2008-12-09 15:23        47616        --sh--r-        c:\windows\system32\appconf32.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-10 68856]
"Logitech Vid"="c:\programme\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-30 180269]
"WINREMOTE"="c:\programme\InterVideo\Common\Bin\WinRemote.exe" [2004-11-05 192512]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-15 233472]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-25 344064]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-08 57344]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-15 253952]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"Bonus.SSR.FR10"="c:\programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-10-07 939272]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-10 421160]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          \0
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Air Mouse\\Air Mouse\\Air Mouse.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [29.09.2009 16:18 809736]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [14.05.2009 18:07 759048]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [30.08.2005 18:35 24544]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:53 135664]
S2 nomxhkvc;Print Class  for IEEE-1284.4 HPZipr12Monitor;c:\windows\System32\svchost.exe -k netsvcs [14.07.2007 17:27 14336]
S3 {CE521E27-BD2D-49BD-96128AFC23576574};{CE521E27-BD2D-49BD-96128AFC23576574};c:\windows\System32\svchost.exe -k netsvcs [14.07.2007 17:27 14336]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [25.12.2007 21:55 16512]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:53 135664]
S3 PRISM_A00;Wireless PCI 802.11b/g adapter WN4201B Driver;c:\windows\system32\drivers\PCTELSAP.SYS [30.08.2005 18:35 306560]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WUAUSERV
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
nomxhkvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-23 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-07-07 15:26]
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:53]
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de-de.facebook.com/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{4C67A88B-2119-44CB-B36C-784136FAF1AD}: NameServer = 192.168.2.1
TCP: Interfaces\{570E206F-0618-42BB-8C29-15C97221094A}: NameServer = 192.168.2.1
TCP: Interfaces\{96130275-3562-4D1C-999D-18FC2CC4287E}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\wyaa1rua.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Kwinzy: {52EF0988-5232-4465-86E7-6434B5891030} - c:\programme\Mozilla Firefox\extensions\{52EF0988-5232-4465-86E7-6434B5891030}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: PriceGong: {8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} - c:\programme\PriceGong\1.2.0\FF
FF - Ext: CyberShadow's Bejeweled Blitz 3 Cheat: bejeweledblitz3cheat@thecybershadow.net - %profile%\extensions\bejeweledblitz3cheat@thecybershadow.net
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: JavaString Helper: {184AA5E6-741D-464a-820E-94B3ABC2F3B4} - c:\windows\system32\5016
FF - Ext: JavaString Helper: {184AA5E6-741D-464a-820E-94B3ABC2F3B4} - c:\windows\system32\5016
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{25205a8b-f8c9-eae0-ac68-c8f868bfc8ed} - c:\windows\ixewelijosi.dll
BHO-{D55EE90F-E559-192B-44B5-5093633BE561} - c:\windows\system32\wfwfrncl.dll
HKCU-Run-uckyfgec - c:\dokumente und einstellungen\hp_besitzer\lokale einstellungen\anwendungsdaten\uckyfgec.exe
HKCU-Run-{89D799AA-D7BD-2B63-95D8-22FDF939AC13} - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mano\paiq.exe
HKCU-Run-Recycle.Bin.exe - c:\recycle.bin\Recycle.Bin.exe
HKCU-Run-Reguser - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Visfree\atlxml.exe
HKCU-Run-3EFB0E1E7E2F52CE - c:\youmeetwewo\YouMeetWeWo.exe
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
HKCU-Run-Rrakogut - c:\windows\dprpbkbd.dll
HKCU-Run-NuHveRXdmtu - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NuHveRXdmtu.exe
HKCU-Run-4W1W8B7A1IVJUZ4WRROJW - c:\washer2.rar\Washer2.rar.exe
HKLM-Run-Prunan - c:\windows\ixewelijosi.dll
HKU-Default-Run-Reguser - c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Visfree\atlxml.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-uckyfgec - c:\dokumente und einstellungen\hp_besitzer\lokale einstellungen\anwendungsdaten\uckyfgec.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-24 17:09
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2572)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\programme\Windows Media Player\wmpband.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ALCXMNTR.EXE
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-24  17:18:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-24 15:18
.
Vor Suchlauf: 3 Verzeichnis(se), 125.010.927.616 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 123.762.688.000 Bytes frei
.
- - End Of File - - 0708DC7CD49CE366C343B40C21F15CF9
--- --- ---



ist es normal, dass all meine programme weg sind?

markusg 24.06.2011 17:08
hallo
öffne mal arbeitsplatz, c:
rechtsklick qoobox den ordner packen, dann im upload channel hochladen bitte.

Sib123 24.06.2011 17:14
hab ich hochgeladen

markusg 24.06.2011 17:20
danke.
machst du onlinebanking, einkäufe oder sonst was wichtiges, (privat oder beruflich)
mit diesem pc

Sib123 24.06.2011 17:32
hab früher online-banking gemacht, aber schon länger nicht mehr als die erste trojaner warnung kam
sonst vlt ab und zu bei ebay oder so

markusg 24.06.2011 17:35
ja, dieses system muss formatiert werden.
wir haben hier schon 6 verschiedene trojaner arten gefunden, dass system wird nicht mehr zu säubern sein!

1. deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
wähle eine der methoden aus.
2. sichere daten, wie bilder, dokumente, etc.
3. formatiere und instaliere windows, falls anleitung nötig, melden.
4. zeige ich dir dann, wie man das system richtig absichert.
5. müssen alle passwörter geendert werden

Sib123 24.06.2011 17:43
wenn ich die dateien auf eine externe festplatte kopiere, besteht die möglichkeit, dass auch die dateien auf der festplatte verseucht werden??

und ich habe ein hp pc mit sytsem recovery.. kann ich nicht einfach beim hochfahren auf f10 drücken?

markusg 24.06.2011 17:57
ja, dass kannst du, nein die gefahr besteht nicht.
wir prüfen die dateien aber, sobald du meine anleitung zum absichern, die ich dir gebe, komplett durchgearbeitet hast.

Sib123 24.06.2011 18:07
okay dann bin ich beruhigt..

markusg 24.06.2011 18:21
es besteht auch kein grund zur aufregung, wir werden alles in ruhe durcharbeiten, du kannst fragen stellen etc.

Sib123 24.06.2011 18:26
wie soll ich denn jetzt vor gehn?
erst die daten sichern dann beim hochfahren f10 drücken?

markusg 24.06.2011 18:29
naja, klar musst erst daten sichern, wenn du es anders rumm machst sind sie ja weg :-)

Sib123 24.06.2011 18:30
hahahah das ist mir schon klar :)
nur ich möchte jetzt wissen, welcher anleitung ich befolgen soll beim neu formatieren...

markusg 24.06.2011 18:36
also, du machst das über f10, auf werkszustand zurück setzen.
folge also den anweisungen auf dem bildschirm, falls es auszuwählen ist, musst du formatieren, oder es könnte automatisch gehen, musst mal lesen, ist eig immer beschrieben.
dann:
wird viel, aber arbeite alles in ruhe schritt für schritt ab, wenn irgendwo fragen auftauchen, stoppen und stellen.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows xp und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132