Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Weißer Bildschirm / "Bitte warten während Verbindung hergestellt wird" (https://www.trojaner-board.de/111935-weisser-bildschirm-bitte-warten-waehrend-verbindung-hergestellt.html)

FloereBoere 20.03.2012 13:01
Weißer Bildschirm / "Bitte warten während Verbindung hergestellt wird"
 
Hallo zusammen,

wie so viele habe ich jetzt auch nur noch einen weißen Bildschirm und auf deutsch bzw. englisch den Satz "Bitte warten während Verbindung hergestellt wird" auf meinem Laptop. Egal in welchem Modus ich Windows starten will, es bleibt immer das selbe Probleme. Deswegen habe ich mich hier auch schon ein bißchen durch die Posts gelesen und so wie ich es verstanden habe, ist das Problem von User zu User unterschiedlich, also habe ich mit OLTPENet mal einen Scan durchgeführt und stelle den Log hier online mit der Hoffnung das mir jemand weiterhelfen kann.

Code:
OTL logfile created on: 3/20/2012 2:30:37 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
64bit-Windows 7 Ultimate Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files (x86)
Drive C: | 100.00 Mb Total Space | 75.83 Mb Free Space | 75.83% Space Free | Partition Type: NTFS
Drive D: | 465.66 Gb Total Space | 367.02 Gb Free Space | 78.82% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (FLEXnet Licensing Service 64) -- D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe (Acresso Software Inc.)
SRV:64bit: - (AMD External Events Utility) -- D:\Windows\System32\atiesrxx.exe (AMD)
SRV:64bit: - (WinDefend) -- D:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- D:\Windows\System32\appmgmts.dll (Microsoft Corporation)
SRV:64bit: - (STacSV) -- D:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\stacsv64.exe (IDT, Inc.)
SRV:64bit: - (AESTFilters) -- D:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\AESTSr64.exe (Andrea Electronics Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- D:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (VMware NAT Service) -- D:\Windows\SysWOW64\vmnat.exe (VMware, Inc.)
SRV - (VMnetDHCP) -- D:\Windows\SysWOW64\vmnetdhcp.exe (VMware, Inc.)
SRV - (VMAuthdService) -- D:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe (VMware, Inc.)
SRV - (VMUSBArbService) -- D:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe (VMware, Inc.)
SRV - (ufad-ws60) -- D:\Program Files (x86)\VMware\VMware Player\vmware-ufad.exe (VMware, Inc.)
SRV - (WMCoreService) -- D:\Program Files (x86)\Dell\Dell WWAN\WMCore\mini_WMCore.exe ()
SRV - (clr_optimization_v2.0.50727_32) -- D:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (BcmSqlStartupSvc) -- D:\Program Files (x86)\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (TsUsbFlt) -- D:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- D:\Windows\System32\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (sdbus) -- D:\Windows\system32\drivers\sdbus.sys (Microsoft Corporation)
DRV:64bit: - (AX88772) -- D:\Windows\System32\drivers\ax88772.sys (ASIX Electronics Corp.)
DRV:64bit: - (vmx86) -- D:\Windows\System32\drivers\vmx86.sys (VMware, Inc.)
DRV:64bit: - (vmkbd) -- D:\Windows\System32\drivers\VMkbd.sys (VMware, Inc.)
DRV:64bit: - (vmci) -- D:\Windows\System32\drivers\vmci.sys (VMware, Inc.)
DRV:64bit: - (VMnetuserif) -- D:\Windows\System32\drivers\vmnetuserif.sys (VMware, Inc.)
DRV:64bit: - (hcmon) -- D:\Windows\System32\drivers\hcmon.sys (VMware, Inc.)
DRV:64bit: - (VMnetBridge) -- D:\Windows\System32\drivers\vmnetbridge.sys (VMware, Inc.)
DRV:64bit: - (VMnetAdapter) -- D:\Windows\System32\drivers\vmnetadapter.sys (VMware, Inc.)
DRV:64bit: - (WIBUKEY) -- D:\Windows\System32\drivers\WibuKey64.sys (WIBU-SYSTEMS AG)
DRV:64bit: - (atikmdag) -- D:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (STHDA) -- D:\Windows\System32\drivers\stwrt64.sys (IDT, Inc.)
DRV:64bit: - (rimsptsk) -- D:\Windows\System32\drivers\rimspx64.sys (REDC)
DRV:64bit: - (Ntfs) -- D:\Windows\System32\wbem\ntfs.mof ()
DRV:64bit: - (BCM43XX) -- D:\Windows\System32\drivers\BCMWL664.SYS (Broadcom Corporation)
DRV:64bit: - (k57nd60a) Broadcom NetLink (TM) -- D:\Windows\System32\drivers\k57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (ebdrv) -- D:\Windows\system32\DRIVERS\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- D:\Windows\system32\DRIVERS\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- D:\Windows\System32\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (rismxdp) -- D:\Windows\System32\drivers\rixdpx64.sys (REDC)
DRV:64bit: - (rimmptsk) -- D:\Windows\System32\drivers\rimmpx64.sys (REDC)
DRV - (vstor2-ws60) -- D:\Program Files (x86)\VMware\VMware Player\vstor2-ws60.sys (VMware, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Andreas.DILGERNET_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\Andreas.DILGERNET_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\Andreas.DILGERNET_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Andreas_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\Andreas_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\Andreas_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..network.proxy.type: 4
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\System32\Macromed\Flash\NPSWF64_11_1_102.dll ()
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Google.com/GoogleEarthPlugin: D:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\Adobe Reader: D:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012/03/19 11:24:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012/03/07 06:06:12 | 000,000,000 | ---D | M]
 
[2010/01/05 09:26:11 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Andreas\AppData\Roaming\Mozilla\Extensions
[2011/05/03 08:57:02 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\ioysczxo.default\extensions
[2011/03/14 09:26:32 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- D:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\ioysczxo.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011/12/08 09:06:53 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files (x86)\Mozilla Firefox\extensions
File not found (No name found) --
File not found (No name found) -- D:\PROGRAM FILES (X86)\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
File not found (No name found) -- D:\PROGRAM FILES (X86)\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
File not found (No name found) -- D:\PROGRAM FILES (X86)\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) -- D:\PROGRAM FILES (X86)\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2012/03/19 11:24:05 | 000,097,208 | ---- | M] (Mozilla Foundation) -- D:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011/05/03 22:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- D:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2012/03/06 09:30:53 | 000,001,392 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/03/06 09:30:53 | 000,002,252 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012/03/06 09:30:53 | 000,001,153 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/06 09:30:53 | 000,006,805 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/06 09:30:53 | 000,001,178 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/06 09:30:53 | 000,001,105 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:00:26 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts
O4:64bit: - HKLM..\Run: [QuickSet] D:\Program Files\Dell\QuickSet\quickset.exe (Dell Inc.)
O4:64bit: - HKLM..\Run: [SysTrayApp] D:\Program Files\IDT\WDM\sttray64.exe (IDT, Inc.)
O4 - HKLM..\Run: [VMware hqtray] D:\Program Files (x86)\VMware\VMware Player\hqtray.exe (VMware, Inc.)
O4 - HKLM..\Run: [ZPseiK15zRSy1wG] D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O4 - HKU\Andreas.DILGERNET_ON_D..\Run: [ZPseiK15zRSy1wG] D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O4 - HKU\Andreas_ON_D..\Run: [Linktree] D:\Users\Andreas\AppData\Roaming\Msnet\treecsc.exe ()
O4 - HKU\Andreas_ON_D..\Run: [Resgdi] D:\Users\Andreas\AppData\Roaming\Adobe\Update\apiat.exe ()
O4 - HKU\LocalService_ON_D..\Run: [Sidebar] D:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_D..\Run: [Sidebar] D:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunStartupScriptSync = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Andreas.DILGERNET_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Andreas.DILGERNET_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andreas_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Andreas_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Andreas_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andreas_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunLogonScriptSync = 1
O7 - HKU\Laptop_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Laptop_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\LocalService_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\LocalService_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\NetworkService_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\NetworkService_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\systemprofile_ON_D\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\systemprofile_ON_D\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000011 - D:\Program Files (x86)\VMware\VMware Player\vsocklib.dll (VMware, Inc.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000012 - D:\Program Files (x86)\VMware\VMware Player\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - D:\Program Files (x86)\VMware\VMware Player\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - D:\Program Files (x86)\VMware\VMware Player\vsocklib.dll (VMware, Inc.)
O13:64bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15:64bit: - Andreas.DILGERNET_ON_D\..Trusted Domains: sites ([]https in Local intranet)
O15:64bit: - Andreas_ON_D\..Trusted Domains: dilgernet.local ([remote] https in Local intranet)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dilgernet.local
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O20 - HKLM Winlogon: UserInit - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Andreas.DILGERNET_ON_D Winlogon: Shell - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O20 - HKU\Andreas.DILGERNET_ON_D Winlogon: UserInit - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
64bit: O35 - HKLM\..comfile [open] -- "%1" %* File not found
64bit: O35 - HKLM\..exefile [open] -- "%1" %* File not found
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/03/20 12:50:00 | 002,237,440 | R--- | C] (OldTimer Tools) -- D:\OTLPE.exe
[2012/03/20 12:49:57 | 000,000,000 | ---D | C] -- D:\_OTL
[2012/03/19 12:33:19 | 000,294,912 | ---- | C] (lyqU) -- D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
[2012/03/14 10:24:02 | 000,149,504 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\rdpcorekmts.dll
[2012/03/14 10:24:02 | 000,077,312 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\rdpwsx.dll
[2012/03/14 10:24:02 | 000,009,216 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\rdrmemptylst.exe
[2012/03/14 10:23:56 | 001,544,192 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\DWrite.dll
[2012/03/14 10:23:56 | 001,077,248 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\DWrite.dll
[2012/03/14 10:23:45 | 000,826,880 | ---- | C] (Microsoft Corporation) -- D:\Windows\SysWow64\rdpcore.dll
[2012/03/14 10:23:44 | 001,112,064 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\rdpcorets.dll
[2012/03/14 10:23:44 | 001,031,680 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\rdpcore.dll
[2012/02/21 03:57:32 | 000,000,000 | -HSD | C] -- D:\Config.Msi
 
========== Files - Modified Within 30 Days ==========
 
[2012/03/20 07:59:32 | 000,067,584 | --S- | M] () -- D:\Windows\bootstat.dat
[2012/03/20 07:58:50 | 3193,585,664 | -HS- | M] () -- D:\hiberfil.sys
[2012/03/20 07:57:05 | 000,001,108 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/03/20 05:54:31 | 000,014,016 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/03/20 05:54:31 | 000,014,016 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/03/20 05:51:34 | 000,718,260 | ---- | M] () -- D:\Windows\System32\perfh007.dat
[2012/03/20 05:51:34 | 000,669,234 | ---- | M] () -- D:\Windows\System32\perfh009.dat
[2012/03/20 05:51:34 | 000,156,682 | ---- | M] () -- D:\Windows\System32\perfc007.dat
[2012/03/20 05:51:34 | 000,126,894 | ---- | M] () -- D:\Windows\System32\perfc009.dat
[2012/03/20 05:27:00 | 000,001,112 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/03/19 12:33:18 | 000,294,912 | ---- | M] (lyqU) -- D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
[2012/03/19 12:23:37 | 000,000,060 | ---- | M] () -- D:\Windows\wpd99.drv
[2012/03/19 10:48:37 | 007,770,031 | ---- | M] () -- D:\ExportFile.bcm
[2012/03/15 09:56:02 | 000,000,211 | ---- | M] () -- D:\Windows\ccolwiz.ini
[2012/03/14 10:28:26 | 000,489,440 | ---- | M] () -- D:\Windows\System32\FNTCACHE.DAT
[2012/03/14 08:27:32 | 000,000,031 | ---- | M] () -- D:\Windows\render.ini
[2012/03/07 06:06:12 | 000,002,441 | ---- | M] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk
[2012/03/07 06:06:12 | 000,002,014 | ---- | M] () -- D:\Users\Public\Desktop\Adobe Reader 9.lnk
[2012/03/06 10:58:05 | 000,004,474 | ---- | M] () -- D:\Windows\KOSTRA6.PRC
[2012/03/02 04:44:02 | 000,048,472 | RHS- | M] () -- D:\ProgramData\ntuser.pol
[2012/02/29 03:33:08 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- D:\Windows\SysWow64\FlashPlayerCPLApp.cpl
 
========== Files Created - No Company Name ==========
 
[2012/03/07 06:06:12 | 000,002,441 | ---- | C] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk
[2012/03/07 06:06:12 | 000,002,014 | ---- | C] () -- D:\Users\Public\Desktop\Adobe Reader 9.lnk
[2011/09/15 05:26:58 | 000,003,584 | ---- | C] () -- D:\Users\Andreas.DILGERNET\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/09/15 05:21:52 | 000,033,134 | ---- | C] () -- D:\Users\Andreas.DILGERNET\AppData\Roaming\UserTile.png
[2011/06/08 02:40:20 | 000,252,928 | ---- | C] () -- D:\Windows\SysWow64\DShowRdpFilter.dll
[2010/08/11 05:04:44 | 000,000,031 | ---- | C] () -- D:\Windows\render.ini
[2010/06/18 05:56:44 | 000,401,408 | ---- | C] () -- D:\Windows\SysWow64\xnmba500.dll
[2010/06/18 05:56:44 | 000,130,048 | ---- | C] () -- D:\Windows\SysWow64\err32.dll
[2010/06/18 05:56:44 | 000,128,000 | ---- | C] () -- D:\Windows\SysWow64\kgv_ggt.dll
[2010/06/18 05:56:44 | 000,102,400 | ---- | C] () -- D:\Windows\SysWow64\xnmhb500.dll
[2010/06/18 05:56:44 | 000,077,824 | ---- | C] () -- D:\Windows\SysWow64\xnmte500.dll
[2010/06/18 05:56:44 | 000,036,864 | ---- | C] () -- D:\Windows\SysWow64\xnmhn500.dll
[2010/06/18 05:56:43 | 000,479,232 | ---- | C] () -- D:\Windows\SysWow64\CMABGL.DLL
[2010/06/18 05:56:43 | 000,139,264 | ---- | C] () -- D:\Windows\SysWow64\StatBar.dll
[2010/06/18 05:56:43 | 000,032,768 | ---- | C] () -- D:\Windows\SysWow64\AKGGraf.dll
[2010/04/09 09:11:22 | 000,003,584 | ---- | C] () -- D:\Users\Andreas\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/07 04:55:39 | 000,000,028 | ---- | C] () -- D:\Windows\pdf995.ini
[2010/04/07 04:54:44 | 000,047,616 | ---- | C] () -- D:\Windows\SysWow64\pdf995mon64.dll
[2010/04/07 04:54:44 | 000,000,060 | ---- | C] () -- D:\Windows\wpd99.drv
[2010/03/02 08:21:01 | 000,000,211 | ---- | C] () -- D:\Windows\ccolwiz.ini
[2010/02/23 08:28:36 | 000,033,134 | ---- | C] () -- D:\Users\Andreas\AppData\Roaming\UserTile.png
[2010/02/04 07:03:02 | 001,544,910 | ---- | C] () -- D:\Windows\SysWow64\PerfStringBackup.INI
[2010/02/04 05:56:57 | 000,048,472 | RHS- | C] () -- D:\ProgramData\ntuser.pol
[2010/02/04 04:50:07 | 000,000,000 | ---- | C] () -- D:\Windows\ativpsrm.bin
[2009/07/14 01:38:36 | 000,067,584 | --S- | C] () -- D:\Windows\bootstat.dat
[2009/07/13 22:35:51 | 000,000,741 | ---- | C] () -- D:\Windows\SysWow64\NOISE.DAT
[2009/07/13 22:34:42 | 000,215,943 | ---- | C] () -- D:\Windows\SysWow64\dssec.dat
[2009/07/13 20:10:29 | 000,043,131 | ---- | C] () -- D:\Windows\mib.bin
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- D:\Windows\SysWow64\BWContextHandler.dll
[2009/07/13 18:25:04 | 000,197,632 | ---- | C] () -- D:\Windows\SysWow64\ir32_32.dll
[2009/07/13 17:03:59 | 000,364,544 | ---- | C] () -- D:\Windows\SysWow64\msjetoledb40.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- D:\Windows\SysWow64\mlang.dat
[1999/01/22 07:46:58 | 000,065,536 | ---- | C] () -- D:\Windows\SysWow64\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2010/08/06 07:03:48 | 000,000,000 | ---D | M] -- D:\ProgramData\AKG
[2010/02/04 05:35:31 | 000,000,000 | -HSD | M] -- D:\ProgramData\Anwendungsdaten
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2011/09/15 05:20:37 | 000,000,000 | ---D | M] -- D:\ProgramData\Autodesk
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2010/02/04 05:35:31 | 000,000,000 | -HSD | M] -- D:\ProgramData\Dokumente
[2010/02/04 05:35:31 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favoriten
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2011/09/15 08:51:54 | 000,000,000 | ---D | M] -- D:\ProgramData\GroupPolicy
[2012/03/19 12:23:31 | 000,000,000 | ---D | M] -- D:\ProgramData\pdf995
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2010/02/04 05:35:31 | 000,000,000 | -HSD | M] -- D:\ProgramData\Startmenü
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2010/02/04 05:35:31 | 000,000,000 | -HSD | M] -- D:\ProgramData\Vorlagen
[2011/12/17 02:59:21 | 000,032,640 | ---- | M] () -- D:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
Vielen Dank schon mal im Voraus für eure Hilfe!
Mit freundlichen Grüßen
FloereBoere

markusg 20.03.2012 13:38
hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\Andreas_ON_D..\Run: [Resgdi] D:\Users\Andreas\AppData\Roaming\Adobe\Update\apiat.exe ()
O4 - HKU\Andreas_ON_D..\Run: [Linktree] D:\Users\Andreas\AppData\Roaming\Msnet\treecsc.exe ()
O4 - HKU\Andreas.DILGERNET_ON_D..\Run: [ZPseiK15zRSy1wG] D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O4 - HKLM..\Run: [ZPseiK15zRSy1wG] D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Andreas.DILGERNET_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andreas_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunLogonScriptSync = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe (lyqU)
O20 - HKLM Winlogon: UserInit - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
(lyqU)
O20 - HKU\Andreas.DILGERNET_ON_D Winlogon: Shell - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
(lyqU)
O20 - HKU\Andreas.DILGERNET_ON_D Winlogon: UserInit - (C:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe) - D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
(lyqU)
:Files
D:\Users\Andreas\AppData\Roaming\Adobe\Update\apiat.exe
D:\Users\Andreas\AppData\Roaming\Msnet
D:\Users\Andreas.DILGERNET\AppData\Roaming\hw56suzj11.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)


edit:
bei dir d:

FloereBoere 20.03.2012 14:18
Hallo markusg,

erstmal Danke für die schnelle Hilfe! Hat alles einwandfrei geklappt und der PC läuft wieder. Der Upload hat auch problemlos funktioniert. Ich habe nur keine otl.txt-Datei beim Hochfahren angezeigt bekommen, die ich jetzt hier posten könnte. Wenn es noch einen Weg geben sollte an diese heran zu kommen, würde ich sie hier auch noch veröffentlichen.

Mit freundlichen Grüßen
FloereBoere

markusg 20.03.2012 15:27
passt so, danke
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

FloereBoere 20.03.2012 16:20
Also ich habe jetzt mal in Erfahrung gebracht für was mein Chef den Laptop so nutzt, ich war nämlich nur dafür zuständig das Teil irgendwie schnellstmöglich wieder zum Laufen zu bringen. So langsam bekomme ich darin auch schon Routine.
Also er benutzt ihn nur beruflich, wobei das Meiste geschieht lokal auf dem Rechner bzw. über das lokale Netzwerk im Büro und übers Internet gehen eigentlich nur E-Mails aus und ein, die dann aber natürlich auch mal Anhänge enthalten können.

markusg 20.03.2012 16:47
das gerät würde ich neu aufsetzen, der zbot trojaner, der hier aktiev war, stiehlt sensible daten
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

FloereBoere 21.03.2012 11:05
Also prinzipiell würde ich den Laptop auch neu aufsetzen, nur ist das in diesem Fall wahrscheinlich mit einigen Komplikationen behaftet. Unser Büronetzwerk wurde nämlich von meinem Vorgänger eingerichtet und dazu gibt es eigentlich keine wirkliche Dokumentation und auch er selbst weiß meistens gar nicht mehr, welches Passwort wofür ist und dergleichen. Ich kann zwar nicht verstehen wie man sowas machen kann, aber das war alles vor meiner Zeit. Deswegen kann man schon ganz froh sein, wenn alles so läuft wie es soll. Vor diesem Hintergrund gestaltet sich das Ganze also recht kompliziert. Gibt es ansonsten noch eine Möglichkeit für einen halbwegs guten Schutz ohne alles neu aufzusetzen?

markusg 21.03.2012 14:16
hi,
nein, denn solche malware kann prinzipiell dazu genutzt werden, firmen internes auszuspähen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:39 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129