Verschlüsselungstrojaner tag zusammen
ich hatte nen trojaner aufm rechner hab ihn aber mit Malwarebytes entfernt
logfile: Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.10.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: SCHNEIDER [Administrator]
10.06.2012 03:39:32
mbam-log-2012-06-10 (03-42-39).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 224052
Laufzeit: 2 Minute(n), 18 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\a.exe (Rogue.Agent) -> Keine Aktion durchgeführt.
(Ende) doch sind nun meine dateien verschlüsselt und ich weiss nicht wie ich diese wieder benutzen kann.
das mit defogger hab ich gemacht.
das mit OTL auch:
die OTL.txt: Code:
OTL logfile created on: 10.06.2012 01:28:20 - Run 2
OTL by OldTimer - Version 3.2.39.2 Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,25 Gb Total Physical Memory | 2,65 Gb Available Physical Memory | 81,70% Memory free
5,09 Gb Paging File | 4,56 Gb Available in Paging File | 89,61% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 276,25 Gb Free Space | 59,31% Space Free | Partition Type: NTFS
Computer Name: SCHNEIDER | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - [2012.03.30 21:32:08 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.02.28 18:38:52 | 001,373,576 | ---- | M] (LogMeIn Inc.) -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe
PRC - [2012.01.22 16:15:32 | 002,230,416 | ---- | M] (Giraffic) -- C:\Programme\Giraffic\Veoh_GirafficWatchdog.exe
PRC - [2012.01.22 16:15:16 | 003,735,680 | ---- | M] (Giraffic) -- C:\Programme\Giraffic\Veoh_Giraffic.exe
PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2011.06.09 14:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.05.05 10:59:54 | 000,200,704 | R--- | M] () -- C:\WINDOWS\system\HsMgr.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.04.06 02:06:58 | 000,028,672 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
========== Modules (No Company Name) ==========
MOD - [2012.01.03 15:10:46 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2010.03.15 12:28:22 | 000,141,824 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2008.05.05 10:59:54 | 000,200,704 | R--- | M] () -- C:\WINDOWS\system\HsMgr.exe
========== Win32 Services (SafeList) ==========
SRV - File not found [Auto | Stopped] -- -- (Apache2)
SRV - [2012.05.06 12:50:28 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.02.29 08:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.02.28 18:38:52 | 001,373,576 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2012.01.22 16:15:32 | 002,230,416 | ---- | M] (Giraffic) [Auto | Running] -- C:\Programme\Giraffic\Veoh_GirafficWatchdog.exe -- (Giraffic)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.03.09 22:31:02 | 000,065,795 | R--- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\tthicmyf.sys -- (tthicmyf)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\qitxpzvs.sys -- (qitxpzvs)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\nimwqyeo.sys -- (nimwqyeo)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.02.01 15:59:58 | 000,082,380 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2010.12.18 13:03:56 | 000,021,696 | ---- | M] (Almico Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan)
DRV - [2010.05.15 13:11:40 | 002,136,224 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2009.07.28 10:55:00 | 000,143,360 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.03.18 18:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2008.06.23 09:59:54 | 002,019,456 | R--- | M] (C-Media Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudaxp.sys -- (cmudaxp)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [1996.04.03 21:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2025429265-1364589140-725345543-1006\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.internet-explorer9.de/testsieger_welcome/
IE - HKU\S-1-5-21-2025429265-1364589140-725345543-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
========== FireFox ==========
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\WINDOWS\system32\TVUAx\npTVUAx.dll (TVU networks)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: C:\Programme\Veetle\VLCBroadcast\npvbp.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\dealscout@deal-scout.net: C:\Programme\DealScout\FireFox [2011.09.27 00:11:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.08 18:49:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.05.17 21:30:38 | 000,000,000 | ---D | M]
[2012.05.19 21:10:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2012.02.17 01:59:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.08 18:49:19 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.11.10 06:54:13 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.08.31 12:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Programme\mozilla firefox\plugins\npvsharetvplg.dll
[2012.03.22 00:10:50 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.22 00:10:50 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.22 00:10:50 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.22 00:10:50 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.22 00:10:50 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.22 00:10:50 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Cmaudio8788] RunDll32 cmicnfgp.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [Cmaudio8788GX] C:\WINDOWS\system\HsMgr.exe ()
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] nwiz.exe /install File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2012\mshaktuell.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Dani\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2025429265-1364589140-725345543-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E332F78-6847-486F-B516-319BD8E478DA}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.02.05 21:39:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012.06.08 18:24:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ASUS
[2012.06.08 18:24:25 | 007,680,000 | R--- | C] (C-Media Corporation) -- C:\WINDOWS\System\CmiCnfgP.cpl
[2012.06.08 18:24:25 | 000,282,624 | R--- | C] (C-Media Corporation) -- C:\WINDOWS\System32\CMRMDRVP.EXE
[2012.06.08 18:24:25 | 000,204,800 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System\HsSrv2.dll
[2012.06.08 18:24:25 | 000,204,800 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System\HsSrv.dll
[2012.06.08 18:24:25 | 000,122,880 | R--- | C] (CMedia Electronics Inc.) -- C:\WINDOWS\System32\Cm_Oal.dll
[2012.06.08 18:24:25 | 000,043,520 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System32\cmasiop.dll
[2012.06.08 18:24:09 | 002,019,456 | R--- | C] (C-Media Inc) -- C:\WINDOWS\System32\drivers\cmudaxp.sys
[2012.06.08 18:24:09 | 000,315,392 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System\CmiFltr.dll
[2012.06.08 18:24:09 | 000,032,768 | R--- | C] (C-Media Electronics Inc.) -- C:\WINDOWS\System32\cmudaxp.dll
[2012.06.08 18:24:02 | 000,000,000 | ---D | C] -- C:\Programme\OpenAL
[2012.06.08 18:24:01 | 000,413,696 | ---- | C] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2012.06.08 18:23:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ASUS Xonar D1 Audio
[2012.06.08 18:23:58 | 000,077,824 | R--- | C] (C-Media Corporation) -- C:\WINDOWS\CmiPCIUninstall.exe
[2012.06.08 18:23:15 | 000,000,000 | ---D | C] -- C:\MediaCenterAudio
[2012.06.08 18:23:12 | 000,000,000 | ---D | C] -- C:\Programme\ASUS Xonar D1 Audio
[2012.06.08 18:13:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\VIA_Audio_V6019500_XPVistaWin7
[2012.06.08 18:13:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WinRAR
[2012.05.21 11:04:31 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Verwaltung
[2012.05.19 21:10:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012.05.19 21:10:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla
[2012.05.18 22:30:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\vlc
[2012.05.18 22:04:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\PunkBuster
[2012.05.18 20:11:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Stronghold Crusader
[2012.05.17 23:50:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer
[2012.05.17 21:30:09 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2012.05.17 21:29:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Apple
[2012.05.17 21:29:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Temp
[2012.05.17 21:29:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012.05.17 21:29:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Adobe
[2012.05.17 21:29:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2012.05.13 21:41:13 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2012.05.13 21:41:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2012.05.13 21:36:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
[2012.05.13 12:46:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012.06.10 01:27:07 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2012.06.10 01:25:30 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2012.06.10 01:14:08 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\gfi9lc16.exe
[2012.06.10 01:11:24 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Defogger.exe
[2012.06.10 00:50:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.06.10 00:37:20 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.10 00:31:31 | 000,459,250 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.10 00:31:31 | 000,441,552 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.10 00:31:31 | 000,084,754 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.10 00:31:31 | 000,071,488 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.10 00:27:12 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.10 00:27:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.10 00:27:07 | 3487,678,464 | -HS- | M] () -- C:\hiberfil.sys
[2012.06.08 18:25:48 | 000,126,912 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.08 18:24:25 | 000,000,795 | ---- | M] () -- C:\WINDOWS\System\Cmicnfgp.ini
[2012.06.08 18:24:25 | 000,000,165 | ---- | M] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2012.06.08 18:24:02 | 000,413,696 | ---- | M] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2012.06.08 08:54:02 | 000,139,448 | ---- | M] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2012.06.08 08:53:55 | 000,282,472 | ---- | M] () -- C:\WINDOWS\System32\PnkBstrB.xtr
[2012.06.06 20:53:07 | 000,282,472 | ---- | M] () -- C:\WINDOWS\System32\PnkBstrB.ex0
[2012.05.30 15:03:09 | 000,000,332 | ---- | M] () -- C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1328104809.job
[2012.05.13 21:41:13 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012.05.13 12:47:22 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.05.11 11:08:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012.06.10 01:27:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2012.06.10 01:15:55 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\gfi9lc16.exe
[2012.06.10 01:15:55 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Defogger.exe
[2012.06.08 18:24:25 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System\HsMgr.exe
[2012.06.08 18:24:25 | 000,000,795 | ---- | C] () -- C:\WINDOWS\System\Cmicnfgp.ini
[2012.06.08 18:24:25 | 000,000,165 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2012.06.08 18:24:01 | 000,005,389 | R--- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfg
[2012.06.08 18:23:32 | 000,000,530 | R--- | C] () -- C:\WINDOWS\cmudaxp.ini
[2012.05.13 12:47:22 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.05.03 04:54:46 | 000,042,392 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2012.04.22 20:25:01 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.02.23 17:15:53 | 000,000,013 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2012.02.16 18:46:14 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.02.14 16:01:41 | 000,000,536 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2012.02.01 15:54:54 | 000,020,454 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2012.02.01 15:54:54 | 000,016,622 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2011.05.12 21:33:37 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2011.02.08 21:00:49 | 000,682,280 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2011.02.06 14:50:49 | 000,139,448 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2011.02.06 14:50:11 | 000,282,472 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2011.02.06 14:50:10 | 000,076,888 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2011.02.06 14:50:09 | 000,000,276 | ---- | C] () -- C:\WINDOWS\game.ini
[2011.02.06 13:58:22 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011.02.06 13:17:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.02.05 22:19:21 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.02.05 22:19:20 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.02.05 22:19:20 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.02.05 22:19:17 | 002,292,678 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2011.02.05 22:04:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2011.02.05 21:56:46 | 000,254,000 | R--- | C] ( ) -- C:\WINDOWS\System32\Audio3D.dll
[2011.02.05 21:56:46 | 000,254,000 | R--- | C] ( ) -- C:\WINDOWS\System32\A3D.dll
[2011.02.05 21:53:36 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.02.05 21:50:00 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2011.02.05 21:49:45 | 000,001,769 | ---- | C] () -- C:\WINDOWS\Language_trs.ini
[2011.02.05 21:49:43 | 000,049,152 | R--- | C] () -- C:\WINDOWS\DAOD.exe
[2011.02.05 21:49:32 | 000,033,604 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011.02.05 21:49:30 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011.02.05 21:40:59 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.02.05 21:36:27 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.02.05 21:27:53 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.02.05 21:26:44 | 000,126,912 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
========== LOP Check ==========
[2012.06.08 18:24:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ASUS
[2012.05.04 15:00:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Opera
[2012.02.14 16:05:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2011.02.06 13:21:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2011.08.27 18:33:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
[2011.08.27 18:32:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
[2011.07.04 17:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KONAMI
[2011.08.27 18:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Photo Notifier and Animation Creator
[2012.06.10 00:24:55 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
[2012.06.09 23:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\.minecraft
[2012.06.08 18:42:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\ASUS
[2011.10.24 21:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\com.w3i.FlipToast
[2012.06.09 23:07:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\DS-Timer
[2012.06.09 23:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\FrostWire
[2012.06.10 00:19:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\ICQ
[2011.02.06 15:44:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\OpenOffice.org
[2011.04.04 16:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Opera
[2012.06.10 00:24:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Teeworlds
[2012.06.09 23:08:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\TS3Client
[2012.05.30 15:03:09 | 000,000,332 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1328104809.job
[2012.06.10 01:25:30 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
========== Purity Check ==========
< End of report > woher ich die Extras.txt, dds.txt und attach.txt nehmen soll weiss ich nich vllt könnt ihr mir da noch helfen....
hier ist noch die Gmer.txt: Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-10 03:37:36
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD502HJ rev.1AJ10001
Running: gfi9lc16.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\uxrcipog.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB4E123A0, 0x5FE082, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system\HsMgr.exe[528] ole32.dll!CoCreateInstanceEx 774CF164 5 Bytes JMP 10008C20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\HsMgr.exe[528] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 10008AF0 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\NOTEPAD.EXE[2712] ole32.dll!CoCreateInstanceEx 774CF164 5 Bytes JMP 10008C20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\NOTEPAD.EXE[2712] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 10008AF0 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\ctfmon.exe[3152] ole32.dll!CoCreateInstanceEx 774CF164 5 Bytes JMP 10008C20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\ctfmon.exe[3152] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 10008AF0 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\Admin\Desktop\gfi9lc16.exe[3240] ole32.dll!CoCreateInstanceEx 774CF164 5 Bytes JMP 10008C20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\Admin\Desktop\gfi9lc16.exe[3240] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 10008AF0 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[3956] ole32.dll!CoCreateInstanceEx 774CF164 3 Bytes JMP 00D88C20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[3956] ole32.dll!CoCreateInstanceEx + 4 774CF168 1 Byte [89]
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[3956] ole32.dll!CoCreateInstance 774CF1BC 3 Bytes JMP 00D88AF0 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe[3956] ole32.dll!CoCreateInstance + 4 774CF1C0 1 Byte [89]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ---- ich bedanke mich schonmal
gruss dani |