|
Web-Kamera lässt sich nicht abstellen Hallo Experten, ich hoffe sehr, dass man mir hier weiterhelfen kann! Seit mittlerweile über zwei Wochen habe ich ziemlich viel Ärger mit meinem Laptop. Ich versuche, es möglichst kurz, aber vollständig zu schildern. Dabei hoffe ich, dass die Schilderung nicht zu lang geraten ist, aber ich habe nun einmal bereits einiges unternommen. Zum einen habe ich dieses Forum erst aktuell entdeckt, zum anderen steht bis heute nicht fest, ob die Probleme auf Schadsoftware zurückzuführen sind. Es begann damit, dass ich zwei Anhänge öffnete (in einem geschützten Modus). Ich weiß nicht, ob in ihnen Malware verborgen war, ob ich mir solche anderweitig einfing bzw. ob die Probleme andere Ursachen haben. Jedenfalls poppten kurz darauf diverse Fenster mit Mitteilungen auf, was alles nicht mehr funktioniere, gefolgt von einer gleichen Menge Fenster mit der Mitteilung, nach Lösungen werde gesucht. Binnen Sekunden blinkten derart viele Fenster auf, dass es mir nicht möglich war, die Texte zu lesen bzw. mir den Inhalt der Mitteilungen zu merken. Von da an bootete der Rechner nicht mehr. Sämtliche unter den F-Tasten abrufbare Möglichkeiten (Starten im geschützten Modus, mit oder ohne bestimmte Treiber etc.) funktionierten nicht. Auch eine Start-CD brachte keinen Erfolg. Gleichgültig, welche Tools ich ausprobierte, stets versuchte der Rechner, Windows zu starten (auch wenn dies aufgrund der Eingabe nicht hätte erfolgen dürfen), stets endete das Ganze erst auf einer schwarzen Seite mit weißem Pfeil und nach langer, langer Zeit erschien der Vista-Hintergrund in Schwarz-Weiß als Endstation. Vom Kaspersky-Support erhielt ich einen Link, um die Kaspersky Rescue Disk 10.0 herunterzuladen. Diese zeigte mir meine Dateien, die ich auf der zweiten Partition abgespeichert habe, während die erste Partition, auf der sich die Programme befinden, nicht zu sehen war. Eine Vista-Programm-CD hatte ich zunächst nicht, da das Programm (Home Premium) auf meinem Rechner vorinstalliert war. Aber ich besitze natürlich einen Product-Key und erhielt schließlich eine CD von einer Bekannten (es handelt sich um eine Sicherungskopie von Vista aus ihrem Unternehmen, von der aus Vista nur mit Product-Key installiert werden kann). Nach über einer halben Stunde Wartezeit, in der es so aussah, als sei wiederum nur derselbe, vergebliche Ablauf wie bei der Start-CD und den anderen Boot-Varianten zu erwarten, erschien endlich ein Inhaltsverzeichnis, das mir die Auswahl bot, Windows zu reparieren oder neu zu installieren. Sämtliche Reparatur-Tools schlugen jedoch fehl. Irgendwann erhielt ich die Meldung, die Festplatte habe keine Partitionen, was vermutlich der Grund dafür gewesen sein dürfte. Auch erfuhr ich später, dass Reparaturversuche einer Datenrettung abträglich sein können. Für die Zukunft ist dies gut zu wissen. Internetrecherchen bezüglich verschwundener Partitionen brachten mich zu dem Programm Testdisk. Ich fand sogar eine gute Anleitung dazu. Testdisk ist ja in der Lage, auch gelöschte Partitionen und Dateien zur Not sogar anhand kleiner Reste wiederzufinden. Das Programm zeigte beide Partitionen scheinbar vollständig an und ich konnte sie damit wieder auffindbar machen. Dennoch versuchte ich erst gar nicht, Windows zu booten, sondern startete mit der Kaspersky Rescue-CD. Auch dort waren jetzt beide Partitionen mit ihren Dateien und Programmen sichtbar und ich konnte sie auf Viren etc. untersuchen lassen. Schadsoftware wurde nicht gefunden, was zunächst einmal vielleicht eher für einen Software- oder Hardware-Fehler als Ursache spricht. Auch konnte ich sowohl via Testdisk als auch via Rescue-CD einige Daten, deren aktuellen Stand ich nicht auf einer Sicherung hatte, kopieren. Dabei fiel mir auf, dass der Ordner mit meinem Benutzernamen als völlig leerer Ordner erschien. Standardmäßig speichert Windows dort ja alle Dateien, die man erstellt, alle E-Mails, Favoriten etc. Nur aufgrund von Überlegungen, die sich später als hinfällig erwiesen, hatte ich es nach Kauf des Laptops vorgezogen, die Programme auf der ersten und alle meine Dateien auf der zweiten Partition zu speichern. Einmal so eingerichtet, behielt ich diese Teilung bei. Normalerweise also hätte sich nun herausgestellt, dass zwar alle Programmordner vollständig erschienen, aber sämtliche persönlich erstellten Dateien verschwunden oder zerschnetzelt oder warum auch immer nicht einmal mehr via Testdisk aufzeigbar waren. Lange freilich hielt die Erleichterung über Sicherungskopien und noch vorhandene Daten auf der zweiten Partition nicht an. Denn erst jetzt fand ich heraus, wo meine E-Mails abgespeichert wurden. Sie waren im Benutzerordner an ziemlich tiefliegender Stelle im „Suchbaum“ und sind somit hinüber und zu meinem Entsetzen auch nicht auf den Sicherungskopien. Schriftverkehr von mehreren Jahren. Ich kann nicht mehr begreifen, warum ich nicht schon lange sichergestellt habe, dass die E-Mails mitkopiert werden. Aber hinterher ist man immer schlauer. Wiederum ließ ich Testdisk nach Daten suchen, diesmal auch mit der tiefergehenden Suche. Als Ergebnis wurden nunmehr die einzelnen Dateien der ersten Partition gar nicht mehr angezeigt. Fehlermeldung: "Can't open filesystem, filesystem seems damaged". Da mittlerweile eine Reihe von Tagen ins Land gegangen war und ich den Rechner dringendst brauchte, entschied ich mich schließlich, die Partition zu löschen, eine neue zu erstellen und auf diese alle Programme neu aufzuladen. Das ist inzwischen zum Teil erfolgt. (Mit Testdisk lässt sich auch die alte Partition wieder aufzeigen.) Jetzt aber fiel mir eine weitere Merkwürdigkeit auf: Sobald Windows geladen ist, schaltet sich die Web-Kamera an und lässt sich nicht mehr ausschalten. Auch das Deaktivieren des Treibers interessiert die offenbar lustig weiterlaufende Kamera nicht, jedenfalls leuchtet unermüdlich das Lämpchen – so lange, bis ich den Rechner herunterfahre. Ob dieses Phänomen bereits vor dem Totalabsturz gegeben war, vermag ich nicht zu sagen, da ich zuvor die Kamera überklebt hatte (wobei sich das Lämpchen ebenfalls unter dem Klebestreifen befand). Es war eine Vorsichtsmaßnahme, da ich sie einmal versehentlich angeschaltet hatte. Ich sah das zwar wenige Augenblicke später, wollte versehentliche Aufnahmen für die Zukunft aber verhindern. Bald darauf löschte ich – weil ich die Kamera nicht brauchte – sogar den Treiber, vergaß jedoch, den Klebestreifen wieder abzuziehen, der schön unauffällig Schwarz auf Schwarz am Laptop-Rande pappte. Nun deaktivierte ich den Treiber nach der Neuinstallation von Windows und zog den eigentlich überflüssigen Klebestreifen ab, wo mich das blaue Lämpchen anstrahlte. Welchen Grund – außer Schadsoftware - kann es ansonsten dafür geben, dass offenbar die Kamera bei deaktiviertem Treiber läuft und sich nicht abschalten lässt? Kann es sein, dass es sich dabei doch um einen Trojaner handelt, der vielleicht auch auf die unter Benutzernamen gespeicherten Daten zugriff? Überprüfungen mit Kaspersky Internet Security (ständig aktualisiert) ergeben allerdings nichts. Eine Überprüfung mit Malwarebytes Anti-Malware ergab lediglich eine schädliche Webseite unter den Favoriten - und zwar ausgerechnet die Seite eines Programms, das in Online-Computer-Zeitungen für die Virenuntersuchung von einzelnen Dateien empfohlen wird: Virus Total. Diese Webseite kann jedoch nichts mit der laufenden Kamera zu tun haben, da das Phänomen bereits bestand, bevor ich die Seite erstmalig aufrief. Besteht überhaupt die Möglichkeit, dass eine Schadsoftware sowohl von KIS als auch von Malwarebytes nicht gefunden wird? Über Hilfe und Ratschläge freue ich mich sehr! Nun noch die gewünschten Anhänge: OTL logfile created on: 18.07.2012 21:38:40 - Run 1 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Downloads\Trojaner-Board Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19272) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,87 Gb Total Physical Memory | 2,06 Gb Available Physical Memory | 72,00% Memory free 5,94 Gb Paging File | 5,04 Gb Available in Paging File | 84,94% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 101,00 Gb Total Space | 74,55 Gb Free Space | 73,82% Space Free | Partition Type: NTFS Drive D: | 131,89 Gb Total Space | 128,57 Gb Free Space | 97,49% Space Free | Partition Type: NTFS Computer Name: ### | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.18 21:09:49 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Downloads\Trojaner-Board\OTL.exe PRC - [2012.07.12 12:04:10 | 000,162,408 | ---- | M] (Geek Software GmbH) -- C:\Programme\PDF24\pdf24.exe PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 07:53:50 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2010.12.08 10:45:16 | 000,253,264 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\AssistantServices.exe PRC - [2010.12.08 10:45:16 | 000,139,088 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\UIExec.exe PRC - [2010.11.02 22:06:06 | 000,365,336 | ---- | M] (Kaspersky Lab ZAO) -- C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe PRC - [2009.04.10 23:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.04.10 23:27:30 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe PRC - [2008.01.18 23:38:40 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe ========== Modules (No Company Name) ========== MOD - [2010.12.08 10:45:16 | 000,139,088 | ---- | M] () -- C:\Programme\1&1 Surf-Stick\UIExec.exe ========== Win32 Services (SafeList) ========== SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.04.04 07:53:50 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2010.12.08 10:45:16 | 000,253,264 | ---- | M] () [Auto | Running] -- C:\Programme\1&1 Surf-Stick\AssistantServices.exe -- (UI Assistant Service) SRV - [2010.11.02 22:06:06 | 000,365,336 | ---- | M] (Kaspersky Lab ZAO) [Auto | Running] -- C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe -- (AVP) SRV - [2008.01.18 23:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2008.01.18 23:33:40 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.10.01 10:37:42 | 000,488,536 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\klif.sys -- (KLIF) DRV - [2010.06.23 09:21:32 | 000,259,176 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2010.06.09 16:43:52 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\kl2.sys -- (kl2) DRV - [2010.06.09 16:43:50 | 000,132,184 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\kl1.sys -- (KL1) DRV - [2010.04.22 18:07:34 | 000,022,104 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\klim6.sys -- (KLIM6) DRV - [2010.03.31 06:59:24 | 000,350,720 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\RTL8187B.sys -- (RTL8187B) DRV - [2009.11.02 19:27:16 | 000,019,984 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\klmouflt.sys -- (klmouflt) DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - [2009.10.29 19:28:24 | 000,105,088 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - [2009.10.29 19:28:24 | 000,009,216 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\massfilter.sys -- (massfilter) DRV - [2009.06.30 10:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\Windows\System32\drivers\pavboot.sys -- (pavboot) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Program Files\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru [2012.07.14 10:17:51 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru [2012.07.14 01:35:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru [2012.07.14 01:35:24 | 000,000,000 | ---D | M] O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll (Kaspersky Lab ZAO) O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO) O4 - HKLM..\Run: [AVP] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (Kaspersky Lab ZAO) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH) O4 - HKLM..\Run: [UIExec] C:\Program Files\1&1 Surf-Stick\UIExec.exe () O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm () O9 - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO) O9 - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll (Kaspersky Lab ZAO) O13 - gopher Prefix: missing O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} hxxp://acs.pandasoftware.com/activescan/cabs/as2stubie.cab (ActiveScan 2.0 Installer Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FDF83AD2-33E6-4DE3-B28C-983929226F4E}: DhcpNameServer = 192.168.178.1 O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\mzvkbd3.dll (Kaspersky Lab ZAO) O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\kloehk.dll (Kaspersky Lab ZAO) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\klogon: DllName - (C:\Windows\system32\klogon.dll) - C:\Windows\System32\klogon.dll (Kaspersky Lab ZAO) O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2012.07.10 19:09:26 | 000,000,113 | ---- | M] () - D:\autorun.inf -- [ NTFS ] O33 - MountPoints2\H\Shell - "" = AutoRun O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Install.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.18 09:04:27 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\ScreenCapturePrint [2012.07.18 08:55:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF24 [2012.07.17 17:53:28 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Portable Devices [2012.07.17 13:44:45 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2012.07.17 13:44:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.07.17 13:44:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.07.17 13:44:13 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2012.07.17 13:44:13 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2012.07.17 12:16:00 | 000,000,000 | ---D | C] -- C:\Windows\Minidump [2012.07.17 12:08:08 | 000,000,000 | ---D | C] -- C:\Windows\System32\WindowsPowerShell [2012.07.15 23:27:01 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\DonationCoder [2012.07.15 23:27:00 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\DonationCoder [2012.07.15 20:57:47 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live [2012.07.14 15:54:28 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\Windows\System32\drivers\pavboot.sys [2012.07.14 15:54:20 | 000,000,000 | ---D | C] -- C:\Program Files\Panda Security [2012.07.13 22:22:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security 2011 [2012.07.13 22:20:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab [2012.07.13 22:20:28 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab [2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbser6k.sys [2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbnmea.sys [2012.07.13 19:43:48 | 000,105,088 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys [2012.07.13 19:43:48 | 000,009,216 | ---- | C] (ZTE Incorporated) -- C:\Windows\System32\drivers\massfilter.sys [2012.07.13 19:43:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1&1 Surf-Stick [2012.07.13 19:43:01 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information [2012.07.13 19:43:01 | 000,000,000 | ---D | C] -- C:\Program Files\1&1 Surf-Stick [2012.07.13 19:19:45 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\OpenOffice.org [2012.07.13 19:18:22 | 000,000,000 | --SD | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.4 [2012.07.13 19:17:47 | 000,000,000 | ---D | C] -- C:\Program Files\OpenOffice.org 3 [2012.07.13 16:26:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\eu-ES [2012.07.13 16:26:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\ca-ES [2012.07.13 16:26:35 | 000,000,000 | ---D | C] -- C:\Windows\System32\vi-VN [2012.07.13 16:18:03 | 000,000,000 | ---D | C] -- C:\Windows\System32\SPReview [2012.07.13 15:58:09 | 000,000,000 | ---D | C] -- C:\Windows\System32\EventProviders [2012.07.13 14:25:06 | 000,000,000 | ---D | C] -- C:\PerfLogs [2012.07.13 06:55:51 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Macromedia [2012.07.12 20:44:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenshotCaptor [2012.07.12 20:44:41 | 000,000,000 | ---D | C] -- C:\Program Files\ScreenshotCaptor [2012.07.12 20:44:41 | 000,000,000 | ---D | C] -- C:\ProgramData\DonationCoder [2012.07.12 20:39:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Adobe [2012.07.12 20:39:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Adobe [2012.07.12 20:37:36 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe [2012.07.12 20:37:36 | 000,000,000 | ---D | C] -- C:\Program Files\Adobe [2012.07.12 20:36:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Adobe [2012.07.12 20:35:39 | 000,000,000 | ---D | C] -- C:\Windows\System32\Macromed [2012.07.12 20:33:13 | 000,000,000 | ---D | C] -- C:\Program Files\PDF24 [2012.07.12 20:31:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip [2012.07.12 20:31:01 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip [2012.07.12 17:34:16 | 000,000,000 | ---D | C] -- C:\Downloads [2012.07.12 17:27:17 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0 [2012.07.11 07:44:00 | 000,000,000 | ---D | C] -- C:\Program Files\Intel [2012.07.11 07:43:58 | 000,000,000 | ---D | C] -- C:\Intel [2012.07.10 23:39:12 | 000,000,000 | ---D | C] -- C:\UserData [2012.07.10 19:59:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\SupportAppCB [2012.07.10 18:53:21 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\MigWiz [2012.07.10 18:52:55 | 000,000,000 | ---D | C] -- C:\Windows\Panther [2012.07.10 18:52:40 | 000,000,000 | -HSD | C] -- C:\Boot [2012.07.10 18:35:45 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab Setup Files [2012.07.10 18:33:46 | 000,000,000 | -HSD | C] -- C:\Windows\Installer [2012.07.10 18:18:57 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Mail - Kopie [2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup [2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\Searches [2012.07.10 18:06:20 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools [2012.07.10 18:06:11 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Identities [2012.07.10 18:06:10 | 000,000,000 | R--D | C] -- C:\Users\***\Contacts [2012.07.10 18:06:09 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\VirtualStore [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Vorlagen [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Verlauf [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Temporary Internet Files [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Startmenü [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\SendTo [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Recent [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Netzwerkumgebung [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Lokale Einstellungen [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Videos [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Musik [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Eigene Dateien [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Documents\Eigene Bilder [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Druckumgebung [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Cookies [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\AppData\Local\Anwendungsdaten [2012.07.10 18:06:06 | 000,000,000 | -HSD | C] -- C:\Users\***\Anwendungsdaten [2012.07.10 18:06:05 | 000,000,000 | --SD | C] -- C:\Users\***\AppData\Roaming\Microsoft [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Videos [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Saved Games [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Pictures [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Music [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Links [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Favorites [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Downloads [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Documents [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\Desktop [2012.07.10 18:06:05 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories [2012.07.10 18:06:05 | 000,000,000 | -H-D | C] -- C:\Users\***\AppData [2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Temp [2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Microsoft [2012.07.10 18:06:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Media Center Programs [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Programme [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente [2012.07.10 18:04:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten [2012.07.10 17:57:11 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution [2012.07.10 17:56:09 | 000,000,000 | ---D | C] -- C:\Windows\System32\catroot2 [2012.07.10 17:55:55 | 000,000,000 | ---D | C] -- C:\Windows\Debug [2012.07.10 17:54:26 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch [2012.07.10 17:54:14 | 000,000,000 | -HSD | C] -- C:\System Volume Information ========== Files - Modified Within 30 Days ========== [2012.07.18 21:31:51 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable [2012.07.18 21:30:43 | 000,618,442 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2012.07.18 21:30:43 | 000,587,178 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2012.07.18 21:30:43 | 000,122,648 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2012.07.18 21:30:43 | 000,101,250 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2012.07.18 21:24:27 | 000,004,848 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2012.07.18 21:24:27 | 000,004,848 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2012.07.18 21:24:18 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.07.18 13:07:29 | 000,000,428 | ---- | M] () -- C:\Users\***\Desktop\Verein - Verknüpfung.lnk [2012.07.18 13:03:40 | 000,000,279 | ---- | M] () -- C:\Users\***\Desktop\DATA (D) - Verknüpfung.lnk [2012.07.18 08:55:29 | 000,001,638 | ---- | M] () -- C:\Users\Public\Desktop\PDF24 Fax.lnk [2012.07.18 08:55:28 | 000,001,653 | ---- | M] () -- C:\Users\Public\Desktop\PDF24 Editor.lnk [2012.07.18 07:01:04 | 000,000,058 | ---- | M] () -- C:\Users\***\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat [2012.07.17 17:51:56 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_07_00.Wdf [2012.07.17 13:44:16 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk [2012.07.17 12:28:21 | 000,000,680 | ---- | M] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2012.07.17 12:15:53 | 147,126,011 | ---- | M] () -- C:\Windows\MEMORY.DMP [2012.07.15 22:14:52 | 000,001,659 | ---- | M] () -- C:\Users\***\Desktop\Command Prompt.lnk [2012.07.15 21:28:11 | 000,003,584 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.15 10:13:26 | 000,255,816 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2012.07.14 13:00:32 | 000,000,983 | ---- | M] () -- C:\Users\***\Desktop\Kaspersky Internet Security 2011.lnk [2012.07.14 11:39:17 | 000,115,369 | ---- | M] () -- C:\Windows\System32\drivers\klin.dat [2012.07.14 11:39:17 | 000,097,961 | ---- | M] () -- C:\Windows\System32\drivers\klick.dat [2012.07.13 19:43:09 | 000,001,543 | ---- | M] () -- C:\Users\Public\Desktop\1&1 Surf-Stick.lnk [2012.07.13 19:18:23 | 000,001,037 | ---- | M] () -- C:\Users\Public\Desktop\OpenOffice.org 3.4.lnk [2012.07.13 16:25:27 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf [2012.07.13 14:15:49 | 000,101,888 | ---- | M] (Infineon Technologies AG) -- C:\Windows\System32\ifxcardm.dll [2012.07.13 14:15:47 | 000,082,432 | ---- | M] (Gemalto, Inc.) -- C:\Windows\System32\axaltocm.dll [2012.07.13 14:06:52 | 000,196,608 | ---- | M] () -- C:\Windows\SPInstall.etl [2012.07.13 13:16:59 | 000,001,820 | ---- | M] () -- C:\Windows\System32\rasctrnm.h [2012.07.12 20:44:47 | 000,000,900 | ---- | M] () -- C:\Users\***\Desktop\Screenshot Captor.lnk [2012.07.12 19:33:49 | 002,501,921 | ---- | M] () -- C:\Windows\System32\wlan.tmf [2012.07.12 19:33:46 | 000,015,181 | ---- | M] () -- C:\Windows\System32\gatherWirelessInfo.vbs [2012.07.11 12:21:35 | 000,000,230 | ---- | M] () -- C:\Users\***\Desktop\Control Panel.lnk [2012.07.11 12:21:08 | 000,001,650 | ---- | M] () -- C:\Users\***\Desktop\System Information.lnk [2012.07.11 12:20:56 | 000,001,674 | ---- | M] () -- C:\Users\***\Desktop\dfrgui.lnk [2012.07.11 12:20:50 | 000,001,652 | ---- | M] () -- C:\Users\***\Desktop\Disk Cleanup.lnk [2012.07.11 12:20:28 | 000,001,638 | ---- | M] () -- C:\Users\***\Desktop\Mobility Center.lnk [2012.07.11 12:20:11 | 000,001,614 | ---- | M] () -- C:\Users\***\Desktop\Calculator.lnk [2012.07.10 18:52:42 | 000,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK [2012.07.10 17:58:23 | 000,054,990 | ---- | M] () -- C:\Windows\System32\license.rtf [2012.07.10 17:58:07 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\UMDF\Msft_User_WpdFs_01_00_00.Wdf [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys ========== Files Created - No Company Name ========== [2012.07.18 21:31:51 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable [2012.07.18 13:07:29 | 000,000,428 | ---- | C] () -- C:\Users\***\Desktop\Verein - Verknüpfung.lnk [2012.07.18 13:03:40 | 000,000,279 | ---- | C] () -- C:\Users\***\Desktop\DATA (D) - Verknüpfung.lnk [2012.07.18 08:55:29 | 000,001,638 | ---- | C] () -- C:\Users\Public\Desktop\PDF24 Fax.lnk [2012.07.18 08:55:28 | 000,001,653 | ---- | C] () -- C:\Users\Public\Desktop\PDF24 Editor.lnk [2012.07.17 17:51:56 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_07_00.Wdf [2012.07.17 13:44:16 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk [2012.07.17 12:15:53 | 147,126,011 | ---- | C] () -- C:\Windows\MEMORY.DMP [2012.07.17 12:05:55 | 000,201,184 | ---- | C] () -- C:\Windows\System32\winrm.vbs [2012.07.17 12:05:55 | 000,004,675 | ---- | C] () -- C:\Windows\System32\wsmanconfig_schema.xml [2012.07.17 12:05:55 | 000,002,426 | ---- | C] () -- C:\Windows\System32\WsmTxt.xsl [2012.07.15 23:27:01 | 000,000,058 | ---- | C] () -- C:\Users\***\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat [2012.07.15 22:14:52 | 000,001,659 | ---- | C] () -- C:\Users\***\Desktop\Command Prompt.lnk [2012.07.15 21:28:07 | 000,003,584 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.15 02:57:57 | 000,057,667 | ---- | C] () -- C:\Windows\System32\ieuinit.inf [2012.07.14 13:00:32 | 000,000,983 | ---- | C] () -- C:\Users\***\Desktop\Kaspersky Internet Security 2011.lnk [2012.07.13 22:22:18 | 000,115,369 | ---- | C] () -- C:\Windows\System32\drivers\klin.dat [2012.07.13 22:22:18 | 000,097,961 | ---- | C] () -- C:\Windows\System32\drivers\klick.dat [2012.07.13 19:43:02 | 000,001,543 | ---- | C] () -- C:\Users\Public\Desktop\1&1 Surf-Stick.lnk [2012.07.13 19:33:16 | 000,000,557 | ---- | C] () -- C:\NetworkCfg.xml [2012.07.13 19:18:23 | 000,001,037 | ---- | C] () -- C:\Users\Public\Desktop\OpenOffice.org 3.4.lnk [2012.07.13 16:25:27 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf [2012.07.13 16:04:45 | 000,392,170 | ---- | C] () -- C:\Windows\System32\onex.tmf [2012.07.13 16:04:44 | 000,009,212 | ---- | C] () -- C:\Windows\System32\RacUR.xml [2012.07.13 16:04:44 | 000,000,153 | ---- | C] () -- C:\Windows\System32\RacUREx.xml [2012.07.13 16:04:29 | 000,344,698 | ---- | C] () -- C:\Windows\System32\eaphost.tmf [2012.07.13 16:04:28 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2012.07.13 16:04:26 | 000,442,788 | ---- | C] () -- C:\Windows\System32\dot3.tmf [2012.07.13 16:03:57 | 011,967,524 | ---- | C] () -- C:\Windows\System32\korwbrkr.lex [2012.07.13 16:03:56 | 000,208,966 | ---- | C] () -- C:\Windows\System32\WFP.TMF [2012.07.13 16:03:29 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2012.07.13 16:03:29 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2012.07.13 16:03:27 | 000,092,918 | ---- | C] () -- C:\Windows\System32\slmgr.vbs [2012.07.13 16:03:26 | 000,009,239 | ---- | C] () -- C:\Windows\System32\spcinstrumentation.man [2012.07.13 16:03:25 | 000,130,008 | ---- | C] () -- C:\Windows\System32\systemsf.ebd [2012.07.13 13:32:40 | 000,000,003 | ---- | C] () -- C:\Windows\System32\drivers\MsftWdf_Kernel_01007_Inbox_Critical.Wdf [2012.07.13 13:31:58 | 000,145,455 | ---- | C] () -- C:\Windows\System32\perfmon.msc [2012.07.13 13:31:21 | 000,144,909 | ---- | C] () -- C:\Windows\System32\fsmgmt.msc [2012.07.13 13:31:20 | 000,012,198 | ---- | C] () -- C:\Windows\System32\gatherWiredInfo.vbs [2012.07.13 13:23:35 | 000,196,608 | ---- | C] () -- C:\Windows\SPInstall.etl [2012.07.13 13:16:59 | 000,001,820 | ---- | C] () -- C:\Windows\System32\rasctrnm.h [2012.07.12 20:44:47 | 000,000,900 | ---- | C] () -- C:\Users\***\Desktop\Screenshot Captor.lnk [2012.07.12 20:38:03 | 000,002,425 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk [2012.07.12 19:33:49 | 002,501,921 | ---- | C] () -- C:\Windows\System32\wlan.tmf [2012.07.12 19:33:46 | 000,015,181 | ---- | C] () -- C:\Windows\System32\gatherWirelessInfo.vbs [2012.07.11 12:21:35 | 000,000,230 | ---- | C] () -- C:\Users\***\Desktop\Control Panel.lnk [2012.07.11 12:21:08 | 000,001,650 | ---- | C] () -- C:\Users\***\Desktop\System Information.lnk [2012.07.11 12:20:56 | 000,001,674 | ---- | C] () -- C:\Users\***\Desktop\dfrgui.lnk [2012.07.11 12:20:50 | 000,001,652 | ---- | C] () -- C:\Users\***\Desktop\Disk Cleanup.lnk [2012.07.11 12:20:28 | 000,001,638 | ---- | C] () -- C:\Users\***\Desktop\Mobility Center.lnk [2012.07.11 12:20:11 | 000,001,614 | ---- | C] () -- C:\Users\***\Desktop\Calculator.lnk [2012.07.10 18:52:42 | 000,008,192 | R-S- | C] () -- C:\BOOTSECT.BAK [2012.07.10 18:52:41 | 000,333,257 | RHS- | C] () -- C:\bootmgr [2012.07.10 18:06:21 | 000,000,949 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [2012.07.10 18:06:20 | 000,000,944 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk [2012.07.10 18:06:10 | 000,000,915 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk [2012.07.10 18:06:07 | 000,000,680 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2012.07.10 17:58:11 | 000,000,604 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live.lnk [2011.02.11 19:10:52 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin [2011.02.11 19:10:50 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin [2011.02.11 19:10:50 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin [2011.02.11 18:40:40 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll [2011.02.11 18:38:44 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config ========== LOP Check ========== [2012.07.15 23:27:01 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DonationCoder [2012.07.13 19:19:45 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\OpenOffice.org [2012.07.18 09:04:27 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\ScreenCapturePrint [2012.07.18 21:21:48 | 000,021,990 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > |
Zitat:
Als wenn es so einfach wäre, Schädlinge zu entfernen! Trotzdem bitte alle Logs von malwarebytes posten Die Logs enthalten ein paar mehr Infos als nur Fund oder kein Fund. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogCode: Drive C: | 101,00 Gb Total Space | 74,55 Gb Free Space | 73,82% Space Free | Partition Type: NTFSWenn ja, solltest du vllt jetzt erstmal ein Backup aller Daten machen und dann kann man in Ruhe analysieren |
Vielen Dank, dass Du Dich der Sache angenommen hast! Bin schon ziemlich verzweifelt, weil ich einfach nicht herausfinden kann, woran es liegt, das Laptop aber dringend brauche. Zitat:
Alle anderen, persönlichen Dateien (also Textdateien, Tabellen, Präsentationen etc.) hatte ich unter Partition D gespeichert. Die waren alle noch da. Partition D war offenbar von dem Ereignis nicht betroffen bzw. nur insofern, als sich die Partition nicht mehr aufrufen lies bzw. nicht ohne weiteres zu sehen war, da Partition C die Boot-Partition war. Wenn die zerschnetzelt ist, kommt man natürlich auch erst einmal nicht so ohne weiteres an D heran. Partition C lies sich auch nicht reparieren und nicht einmal formatieren. Habe sie schließlich gelöscht, eine neue Partition C erstellt und auf diese alle Programme neu aufgeladen (zumindest die meisten, ein paar fehlen bislang noch). Die alte Partition C lässt sich unter Testdisk weiterhin aufzeigen (dieses Programm zeigt ja sogar gelöschte Partitionen). Aber die Dateien unter Benutzer sind eben weiterhin nicht aufzeigbar, weil irgendwie kaputt oder weg. Zitat:
Hier sind die mbam-logs, zunächst die alte vom 17.7.: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Was bedeutet es eigentlich, dass dauernd Hooks installiert werden? Notepad beispielsweise habe ich gar nicht verwendet :confused: Code: Datum: Heute (202) |
Zitat:
Egal von welchem Bereich aus die Daten bearbeitest, was wichtig und wo du irgendwann mal wieder "zurück" musst, führt nichts an einem Backup vorbei! Zitat:
Eine fette Internet Security hätte ich dir eh niemals empfohlen. Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Vielen Dank für Deine Mühe! Von Malwarebytes habe ich 4 Scans: - den Kurz-Scan vom 17.7. - den Vollscan vom 17.7. - den Kurz-Scan von 23.7. (diese drei in meinem obigen Posting von 12:07 Uhr) - und hier nun noch der Vollscan von heute Abend: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: ESETSmartInstaller@High as CAB hook log:Viele Grüße, Carmen |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Der Cleaner lief nur Sekunden. Hier das Ergebnis: Code: # AdwCleaner v1.703 - Logfile created 07/24/2012 at 17:17:14 |
Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Zitat:
Zitat:
Und als ich mir die Autostart-Einstellungen ansehen wollte, musste ich nun feststellen, dass sich die Autostartprogramme auch nicht mehr verwalten lassen. Es erscheint die Fehlermeldung: "Fehler bei Anwendungsinitialisierung. 0x800106ba. Der Dienst dieses Programms wurde aufgrund eines Problems angehalten. Führen Sie zum Starten des Dienstes einen Neustart des Computers aus oder suchen Sie unter 'Hilfe und Support' Informationen zum manuellen Starten eines Dienstes." Klickt man Windows-Defender an, erscheint dieselbe Meldung. Das war nach der Neuinstallation der Programme noch anders. Ich habe nämlich einiges aus den Autostartprogrammen genommen, als ich die Programme neu aufgespielt hatte, damit das Laptop nicht so lange zum Starten braucht und diverse Programme lädt, die ich nicht womöglich nicht aktuell brauche und bei Bedarf ja auch später noch laden kann. Da waren nur noch die Windows-Startgeschichten und Kaspersky drin. Und heute Nachmittag fiel mir auf, dass der Start wieder länger dauerte. Besonders lange dauerte es, bis Kaspersky geladen war - immerhin so lange, dass ich bis dahin bereits auf dem Kaspersky-Button herumklickte, den ich auf den Desktop gesetzt habe, weil ich dachte, mit dem Autostart des Programms sei etwas schiefgelaufen. Da fragte ich mich natürlich, was nun wieder los ist. Aber ich bin momentan ohnehin diesem Gerät gegenüber äußerst misstrauisch und habe mich dann zufriedengegeben, als Kaspersky doch noch gestartet wurde. Gerade bin ich also dem Vorschlag in der Fehlermeldung nachgegangen und habe den Rechner neu gestartet. Nein, die Autostartprogramme können weiterhin nicht angesehen werden (Windows-Defender dito). Aber der Start ging wieder schneller und auch Kaspersky wurde zügig geladen. Aus den Autostartprogrammen rausgeschmissen habe ich beispielsweise den Datenstick, über den ich momentan das Internet nutze. Ich gehe - seit ich via Datenstick surfe - nur dann online, wenn ich das Internet tatsächlich nutze. Also muss ich beim Start des Rechners auch nicht erst auf das Laden des Stick-Programms warten. Und so starre ich z.B. auch irritiert auf die in meinen Augen gigantischen Datenmengen, die über den Internet-Stick übertragen werden. Nun habe ich mich allerdings noch nie damit beschäftigt, wie viele Daten beim Betrachten normaler Websites übertragen werden. Ist es normal, dass seit 13.7. ca. 1,6 Terabyte Daten über den Stick liefen? Natürlich habe ich auch einige Programme runtergeladen, weil ich ja Laufwerk C gelöscht, ein neues Laufwerk C erstellt und die jetzt darauf befindlichen Programme neu aufgeladen habe. - Aber zum einen habe ich diese Programme zu einem guten Teil im Internetcafe auf CDs gebrannt und dann via CD auf den Rechner geladen, weil der Datenstick aufgrund Ausschöpfung der gebuchten Datenmenge sehr schnell nur noch im Zeitlupenmodus arbeitete und ich 40 oder mehr Stunden gebraucht hätte, um hundert MB runterzuladen. - Zum anderen ist die Anzahl der Programme und die Gesamtmenge der Daten auf meinem Rechner sehr übersichtlich (siehe obige Scans). Ich frage mich, welches Datenvolumen man denn da bloß buchen müsste, nur um täglich Nachrichten auf Onlineportalen von Zeitungen lesen und ein paar Beiträge in Foren u.ä. schreiben zu können (mehr mache ich momentan mit dem Stick nicht). Ist das normal? Ich nutze den Stick noch nicht lange und habe mich vorher wenig für die jeweils übertragene Datenmenge interessiert. Zunächst habe ich den Stick nur unterwegs benutzt (ein bis zwei Stunden täglich). Da gab es nie Schwierigkeiten mit der Datenmenge. Jetzt nutze ich ihn momentan zwar mehr. Aber die Kapazität ist bereits nach drei Tagen verbraucht. Und in der neuen Rechnungsperiode habe ich lediglich die von Dir hier verlinkten Programme runtergeladen. Ergänzung: Unter Systeminformationen lässt sich ein Blick in die Autostartprogramme werfen: Code: Systeminformationen:Viele Grüße, Carmen |
Könntest du dich bitte kurz fassen? Du hast schon beim ersten Posting einen halben Roman geschrieben, das ist recht anstrengend wenn man hier sich durch so einen Haufen Text jedes Mal wühlen muss. Im Prinzip ist es ja gut wenn so so detailiert wie möglich alles posten willst, aber bitte halte dich so kurz wie möglich - so viel wie nötig, so wenig wie möglich :rolleyes: |
Sorry, gelobe Besserung! Wie kann es jetzt weitergehen? Viele Grüße, Carmen |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Hier ist der Scan: OTL Logfile: Code: OTL logfile created on: 25.07.2012 14:57:02 - Run 2Viele Grüße, Carmen |
Code: [2012.07.21 20:40:50 | 000,000,000 | ---D | C] -- C:\ComboFixWarum hast du kein Wort darüber verloren und warum ist nicht das Log dazu gepostet worden?! :wtf: http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif Zitat:
|
Ich habe ComboFix nicht ohne Anweisung ausgeführt. Und ich habe das bislang nicht geschildert, weil andere Scans angefordert wurden und meine hier eingestellten Infos ohnehin schon so umfangreich (bzw. zu umfangreich) geworden sind. :o Bitte bedenke, dass ich diesbezüglich Laie bin. Ich kann wirklich nicht beurteilen, welche Informationen für dich wichtig sind (sonst hätte ich das Log längst eingestellt!). Wie kam ich nun dazu, ComboFix anzuwenden? Als ich feststellte, dass sich die Kamera nicht abschalten lässt, auch bei deaktiviertem Treiber weiterläuft und KIS keine Schadsoftware finden konnte, habe ich mich als erstes an den Kaspersky-Support gewendet. Damals kannte ich das Forum hier ja noch gar nicht. Erst als von dort nach einigen Tagen keine Antwort eingetroffen war, suchte ich nach einer anderen Möglichkeit und fand schließlich dieses Forum. Dann aber dauerte es auch mehrere Tage, bis sich hier jemand der Sache annehmen konnte. In der Zwischenzeit kam dann doch noch eine Antwort von Kaspersky. Nun wusste ich wiederum umgekehrt nicht, ob letztlich hier im Forum jemand antworten möchte, und führte also die Anweisungen vom Kaspersky-Support aus. Dabei wollte ich keine zwei parallel laufenden Supports haben. Und dazu kam es auch nicht. Gegebenenfalls hätte ich dich informiert, wenn der Kaspersky-Support an der Sache dran geblieben wäre. Der Kaspersky-Support erhielt von mir gleich mit der Anfrage Infos, die mit einem Programm, das man sich dort herunterladen kann (GetSystemInfo), erstellt und mitgeschickt werden sollen. Vorsichtshalber stelle ich diese txt-Datei hier in den Anhang. Als Code-Text kann ich den Inhalt dieser Datei hier nicht einstellen. Mein Rechner macht bei dem Versuch, den Text aus der Datei zu kopieren – warum auch immer – derartige Probleme, dass es ganz einfach unmöglich ist. ************************** Ergänzung im Nachhinein: Die Datei lässt sich leider auch nicht in den Anhang stellten. Sie habe fast 5 MB ist die Meldung, die ich erhalte. Eine reine Textdatei??? Nun, denn :confused: - sollte sie wichtig sein, sag es halt noch. ************************** Die Anweisungen in der Antwort vom Kaspersky-Support lauteten: Code: > vielen Dank für Ihre Mail. Eine Infektion kann ich mit denCode: > in diesem Fall wenden Sie sich bitte direkt an den HerstellersupportDie Kamera aber schaltet sich erst an, während irgendwelche Programme einlaufen. Und der eigentliche Gerätetreiber ist – wie gesagt – deaktiviert. Insofern verspreche ich mir nichts davon, Fujitsu Siemens Computers zu befragen. Umso mehr freue ich mich, dass du dich am 23.7. der Sache angenommen hast! Vielen, herzlichen Dank dafür! Habe auch darüber nachgegrübelt, ob weitere Infos fehlen könnten. Weiß aber absolut nichts. Es gibt noch eine Log-Datei von Kavremover (auch aus der oben zitierten Anleitung von Kaspersky). Brauchst du die auch? Hier ist das Log von ComboFix: [Code] Combofix Logfile: Code: ComboFix 12-07-21.01 - *** 21.07.2012 20:41:49.1.2 - x86Viele Grüße, Carmen |
Hm, ist mir auch neu, dass Kaspersky CF als Lösung empfiehlt, immerhin ist das eine kommerzielle Softwareschmiede! Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Habe den TDSS-Killer heruntergeladen. Er lässt sich allerdings nicht starten. Nach Doppelklick erscheint ein Fenster mit dem Hinweis: "Der Hersteller konnte nicht verifiziert werden. Möchten Sie diese Software ausführen?" Nach Klick auf Ausführen erscheint wiederum ein Fenster mit dem Hinweis: "C:\Users\***\Desktop\tdsskiller.exe ist keine zulässige Win32-Anwendung" Meines Wissens nach waren alle Programme geschlossen. - Kaspersky war abgeschaltet. - Windows-Firewall ist deaktiviert. - Als ich das letzte Mal in Windows-Defender schauen konnte, war auch dieses Programm deaktiviert. Seit kurzem komme ich ja nicht mehr an Windows-Defender heran. Wie schon weiter oben geschildert, erscheint beim Anklicken die Fehlermeldung: "Fehler bei Anwendungsinitialisierung. 0x800106ba. Der Dienst dieses Programms wurde aufgrund eines Problems angehalten. Führen Sie zum Starten des Dienstes einen Neustart des Computers aus oder suchen Sie unter 'Hilfe und Support' Informationen zum manuellen Starten eines Dienstes." Lässt sich der TDSS-Killer auch anders als von der Windows-Oberfläche starten? Viele Grüße, Carmen |
Dann ist die EXE vom TDSS-Killer korrupt. Neu runterladen bis es klappt |
Es folgt jetzt die Log-Datei vom TDSS-Killer. Außerdem habe ich verschiedenes ausprobiert. Damit du jeweils schnell entscheiden kannst, ob die jeweiligen Infos für dich interessant sind, habe ich das Posting in Kapitel aufgeteilt und jeweils am Anfang Stichworte farblich abgesetzt. So lässt es sich ggf. auch gut selektiv lesen. A) Windows-Defender kann nicht ausgestellt werden: Ich sollte dabei alle Virenscanner ausstellen. Habe jedoch festgestellt, dass Windows-Defender eingeschaltet ist. An Windows-Defender komme ich ja seit kurzem nicht mehr heran. Bevor ich plötzlich keinen Zugang mehr hatte, hatte ich das Programm deaktiviert. B) Log vom TDSS-Killer: Code: 17:47:25.0641 4996 TDSS rootkit removing tool 2.7.48.0 Jul 24 2012 13:16:32C) Qoobox: Außerdem ist mir noch aufgefallen, dass Qoobox (steht wohl irgendwie in Zusammenhang mit ComboFix) am 21.7. ebenfalls zwei Dateien angelegt hat. Hier sind auch noch diese: Code: 2012-07-21 18:47:41 . 2012-07-10 17:09:26 113 ----a-w- C:\Qoobox\Quarantine\D\Autorun.inf.virCode: 1&1 Surf-StickD) Wann genau schaltet sich die Kamera an? Um das festzuhalten, habe ich den Boot-Prozess mal genau beobachtet. Nach Anschalten des Laptops geschieht folgendes: 1) Schwarze Seite 2) Nach ca. 3 Sekunden: Fujitsu Siemens Computers-Seite erscheint 3) Nach ca. 1 Sekunde: Schwarze Seite 4) Nach ca. 5 Sekunden: „© Microsoft Corporation“ erscheint mit einem Download-Balken, durch den vertikale, grüne Streifen laufen 5) Nach ca. 5 Sekunden: Schwarze Seite 6) Nach ca. 1 Sekunde: Kameralämpchen geht an 7) Nach ca. 3 Sekunden: Ein weißer Pfeil erscheint mitten auf der schwarzen Seite 8) Nach ca. 2 Sekunden: Pfeil verschwindet wieder, Schwarze Seite 9) Nach ca. 2 Sekunden: Das Windows-Start-Zeichen erscheint 10) Nach ca. 1 Sekunde: Das Kennwort kann eingegeben werden E) Startprotokollierung: Habe den Rechner mal mit F8 und „Startprotokollierung aktivieren“ gestartet. Die Log-Datei zeigt auch jene Treiber, die deaktiviert sind, so z.B. den WLAN-Treiber. Der Kamera-Treiber (usbvideo.sys) wird hingegen nicht angezeigt: => txt-Datei im Anhang Wenn ich den Kamera-Treiber aktiviere, wird er angezeigt: => txt-Datei im Anhang Aber unabhängig davon, ob der Treiber nun angezeigt wird oder nicht, schaltet sich das Lämpchen beim Booten an. Viele Grüße, Carmen |
Bitte ein neues Log mit CF machen, combofix.exe neu runterladen!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
ComboFix: [Code] Combofix Logfile: Code: ComboFix 12-07-29.02 - *** 29.07.2012 21:58:46.2.2 - x86ComboFix-quarantined Files: Code: 2012-07-21 18:47:41 . 2012-07-10 17:09:26 113 ----a-w- C:\Qoobox\Quarantine\D\Autorun.inf.virCode: 1&1 Surf-Stick |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Ich stelle die GMER-Datei jetzt hier lieber gleich rein, solange ich sie noch im Zwischenspeicher habe. Auf meinem Rechner hat sich nämlich gerade eben etwas getan, was dazu führt, dass ich meine sämtlichen Dateien nicht mehr öffnen kann. Es wird nach irgendwelchen ASCII-Codes gefragt. Die Dateien werden entweder gar nicht geöffnet oder es stehen nur noch irgendwelche Sonderzeichen drin. [Code] GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netDie übrigen Dateien folgen später. OSAM lässt sich nicht herunterladen. Habe es mit IE 6 x versucht. Es wurden maximal 21 % heruntergeladen, dann erhielt ich regelmäßig die Meldung, der Download sei vollständig. Natürlich lässt sich das Programm nicht starten. Kam dann auf die Idee, es mal mit einem anderen Browser zu versuchen. Hatte vor dem großen Knall, den ich in meinem ersten Posting beschrieb, FireFox als zweiten Browser. Ich hoffe, es spricht nichts dagegen, dass ich mir jetzt zwischendrin FF runtergeladen habe. FF hat einige MB. Download dauerte bei meiner langsamen Verbindung entsprechend, war aber kein Problem (an der Verbindung scheint es also nicht zu liegen). Dann 3 x mit FF versucht. Es wurden von den 4,1 MB, die OSRAM hat, maximal 1 MB heruntergeladen. Auch bei FF regelmäßig Meldung, dass Download damit vollständig. Natürlich funktioniert OSRAM weiterhin nicht. Was nun? Soll ich mit aswMBR weitermachen? Viele Grüße, Carmen :heulen: |
Probier den Download mit aktuellem Firefox über den abgesicherten Modus mit Netzwerktreibern |
Der 1&1 Surf-Stick funktioniert nicht im abgesicherten Modus mit Netzwerktreibern. Das Programm läuft zwar ein, das Fenster öffnet sich, aber es gibt keine Verbindung. Fehlermeldung: "Gerät nicht erkannt" Kann höchstens in den nächsten Tagen zusehen, dass ich irgendwo den Rechner an eine Kabelverbindung anschließen kann. Hast Du noch eine andere Idee? Viele Grüße, Carmen |
Hast du keine andere Internetverbindung? Nur diesen Surfstick? :dummguck: |
Im Augenblick ja, da ich mich derzeit bei einer Verwandten und nicht bei mir zu Hause aufhalte. Von meinem Internetanschluss trennen mich mehr als 200 Kilometer :( ------------------------ Ich finde bestimmt heute Nachmittag oder Abend eine Möglichkeit.... ------------------------ Dein Engagement ist wirklich super! :knuddel: |
Dann musst du solange den Download probieren bis es klappt :pfeiff: |
Da ist nur noch eine blitzeblank weiße Seite zu sehen. Liegt also wahrscheinlich gar nicht an mir bzw. meinem Anschluss :) Also heißt es jetzt: Warten auf OSAM? :kaffee: |
OSAM sollte wieder verfügbar sein |
Ja, geht wieder. Nu aber: [Code] OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [Code/] Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes hat wieder nichts gefunden: Code: Malwarebytes Anti-Malware 1.62.0.1300hxxp://filepony.de/download-superantispyware/ herunterladen wollte, wurde zunächst ein anderes Programm heruntergeladen, nämlich Accelerator Installation. Ich merkte es nicht sofort, so dass dieses Programm jetzt auf meinem Rechner ist und prompt von SuperAntiSpyware bemängelt wird. SuperAntiSpyware fand insgesamt 855 Objekte, darunter 2 Trojaner. Einer wird in einer DOC-Datei angezeigt, die vom 1.3.2011 stammt. Heißt das, dass der Trojaner die ganze Zeit über unbemerkt auf meinem Rechner war? Dann wären auch meine Backups infiziert. Der zweite wird in der OpenOfficeSuite-setup.exe angezeigt. Das Programm habe ich direkt hier hxxp://www.openoffice.org/de/ heruntergeladen. Code: SUPERAntiSpyware Scan Log |
Zitat:
Code: Trojan.Agent/Gen-ImageDocFakeCode: Trojan.Agent/Gen-DownloadAdminDas kommt davon, wenn man Software nicht von der Originalseite runterlädt!! :pfui: => OpenOffice.org: Startseite (deutsch) Alternativen: LibreOffice oder Abiword und Gnumeric als Gespann, die sind schlanker als Libreoffice oder Openoffice Code: Adware.InstallCoreCode: Trace.Known Threat SourcesRechner ansonsten soweit wieder in Ordnung? |
Zitat:
Was mache ich denn jetzt mit dem Trojaner? Zitat:
- Ich komme an die Startprogramme nicht ran. - Ein Großteil meiner Dateien lässt sich nicht mehr öffnen (es wird nach einem ASCII-Code gefragt) bzw. es erscheinen nur noch Sonderzeichen. Leider betrifft das auch das Backup :eek: Kann das daran liegen, dass ich vor dem großen Crash Windows 2010 auf dem Rechner hatte? Die Version war zwar inzwischen abgelaufen (erst Betatester, dann Testversion) und eigentlich müsste sich alles mit OpenOffice öffnen lassen, aber vielleicht fehlt dadurch ja jetzt doch irgendwas. Oder liegt das an dem Trojaner? Hatte vorhin wieder einen Totalabsturz. TestDisk wurde automatisch durchgeführt. Ein paar Dinge wurden gelöscht, ein paar wiederhergestellt. Habe aber das Log dazu noch nicht gefunden. Weißt Du, wo das abgespeichert wird? Viele Grüße, Carmen |
Hast du die WebCam mal komplett deinstalliert und dann den Treiber neu drauf gemacht?! Und zu den nicht lesbaren Daten, da könntest du evtl mit dem ShadowExplorer Glück haben, nähere Hinweise oben! Ist zwar hauptsächlich für Betroffene des Verschlüsselungstrojaners gedacht, aber auch hier könnten Hinweise für dich nützlich sein! |
Vielen Dank! Wie werde ich denn jetzt diesen Trojaner Trojan.Agent/Gen-DownloadAdmin los? Einfach löschen? Wäre es besser, die Partitionen zu löschen und alles noch einmal neu aufzusetzen? Zitat:
Zitat:
Dabei geht es nicht sofort an, wenn Strom auf dem Rechner ist (sonst würde ich denken, dass es einfach defekt und eben immer an ist), sondern es schaltet sich ein, während Programme einlaufen. Nach Neuinstallation des Treibers dito. Es muss doch also noch irgendwo anders ein verflixter Treiber hängen. Nach Anschalten des Laptops geschieht folgendes: 1) Schwarze Seite 2) Nach ca. 3 Sekunden: Fujitsu Siemens Computers-Seite erscheint 3) Nach ca. 1 Sekunde: Schwarze Seite 4) Nach ca. 5 Sekunden: „© Microsoft Corporation“ erscheint mit einem Download-Balken, durch den vertikale, grüne Streifen laufen 5) Nach ca. 5 Sekunden: Schwarze Seite 6) Nach ca. 1 Sekunde: Kameralämpchen geht an 7) Nach ca. 3 Sekunden: Ein weißer Pfeil erscheint mitten auf der schwarzen Seite 8) Nach ca. 2 Sekunden: Pfeil verschwindet wieder, Schwarze Seite 9) Nach ca. 2 Sekunden: Das Windows-Start-Zeichen erscheint 10) Nach ca. 1 Sekunde: Das Kennwort kann eingegeben werden |
Zitat:
OpenOffice lädt man nicht von Dreckseiten runter! Vllt schaust du auch erstmal ins Handbuch wie das mit dem WebCam-Lämpchen überhautp emeint ist bevor man hier unsinnig sein Kopf zerbricht |
Zitat:
=> Es ist haargenau dieselbe Seite: www.openoffice.org/de Es war also keine Dreckseite, von der ich die Software runtergeladen habe! SuperAntiSpyware war die einzige Anti-Viren-Software, die den Trojaner gefunden hat. Ich werde SuperAntiSpyware jetzt also noch einmal einen kompletten Scan machen lassen und am Ende den Trojaner löschen lassen und hoffe, dass das okay ist. |
Zitat:
Hier sind die offiziellen Mirrors! => Apache OpenOffice - Download tested and stable builds |
Habe den Trojaner und alles übrige gelöscht, das SuperAntiSpyware bemängelt hat (mit Ausnahme des Fehlalarms Trojan.Agent/Gen-ImageDocFake). Hier das Log: Code: SUPERAntiSpyware Scan LogJetzt lade ich mir OpenOffice laut deinem Link neu herunter und außerdem eine Testversion von Windows 2010. Sollte ich vor der Installation der beiden Programmpakete noch andere Suchläufe vornehmen? |
Zitat:
Du meinst wohl eher Office 2010? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:04 Uhr. |
Copyright ©2000-2024, Trojaner-Board
