Trojaner-Board - Trojaner entfernt, jetzt startet der Rechner nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner entfernt, jetzt startet der Rechner nicht mehr (https://www.trojaner-board.de/93753-trojaner-entfernt-startet-rechner-mehr.html)

Trojaner entfernt, jetzt startet der Rechner nicht mehr

Hallo,

ich habe ein großen Problem und google etc konnte mir bis jetzt nicht wirklich helfen.

Ich habe meinen Rechner mir Ad-Aware geprüft und hatte einen Fund, dann bin ich auf "empfohlene Aktion gegangen und habe danach den Rechner neu starten wollen, aber seit dem lässt sich der Rechner nicht mehr hochfahren, nach den XP logo ist Schluss und der Rechner fährt erneut hoch... (da es ein Netbook ist und ich kein Laufwerk dafür habe ist eine Neuinstallation schwierig, zumal ich meine Daten gerne behalten würde...)

Der gefundene Trojaner ist:
Trojan.Win32.Generic!BT
c:/windows/system32/kb.dll
c:/system vol/../

Ich hoffe mir kann jemand helfen...

Vielen Dank
Chris

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Unbootbares System mit OTLPE Network scannen

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.

http://image.hijackthis.de/upload/hjt1-034.jpg
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Hallo,
erstmal vielen Dank für die Antwort, aber ich habe schon jetzt ein Problem:heulen: und zwar ist es ein Netbook, also kein CD Laufwerk... und ein externes hab ich auch nicht.

Nun hab ich mit überlegt dass ich die Festplatte aus dem Netbook ausbaue und in ein altes Notebook einbaue. Würde das funktionieren oder gibt’s dann Probleme aufgrund der anderen Hardware??

Sorry für die Umstände und schon einmal DANKE im Voraus :dankeschoen:

Chris

Das kann Probleme geben. Und wenn Du einen bootfähigen USB Stick nimmst. Hats Du so einen zur Hand?

Keine Ahnung, woher weiß ich ob ein USB Stick bootfähig ist?

Also, der Stick ist bootfähig gemacht, aber wie bekomme ich jetzt das Programm auf den Stick? Ich kann es nur auf CD brennen...

Danke

Wieso nur auf CD? Du kannst es sicher auch auf den Stick kopieren?
Siehe hier.

Guten Morgen,
das Netbook läuft wieder:-)

Das Samsung Recovery Solution III ließ sich auch ohne Windows starten und ich konnte meine Dateien als Sicherungskopie auf d: ablegen und dann c: mit einer Kopie von Auslieferungszustand überschreiben.

Allerdings würde ich gerne sichergehen dass nichts mehr auf dem Rechner ist bevor ich ihn weiter verwende und meine Programme etc. wieder installiere, vll kannst du mir ja auch ein paar Tipps geben wie ich so etwas in Zukunft verhindern kann.

Auf jedenfall vielen Dank für deine Bemühungen.

Schritt 1

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi,
hier die Ergebnisse der Scans:

Malewarebytes:

Code:

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org
 

Datenbank Version: 5356
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

19.12.2010 13:13:14

mbam-log-2010-12-19 (13-13-14).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 120258

Laufzeit: 1 Minute(n), 32 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

OTL:
OTL Logfile:

Code:

OTL logfile created on: 19.12.2010 20:54:29 - Run 1

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Betti\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.014,00 Mb Total Physical Memory | 722,00 Mb Available Physical Memory | 71,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 71,04 Gb Total Space | 65,28 Gb Free Space | 91,89% Space Free | Partition Type: NTFS

Drive D: | 72,00 Gb Total Space | 36,46 Gb Free Space | 50,63% Space Free | Partition Type: NTFS

Drive E: | 1,94 Gb Total Space | 1,91 Gb Free Space | 98,20% Space Free | Partition Type: NTFS

 

Computer Name: BETTINA | User Name: Betti | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Betti\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Java\jre1.5.0\bin\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()

PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)

PRC - C:\Programme\Samsung\MagicKBD\PerformanceManager.exe (Samsung Electronics Co., Ltd.)

PRC - C:\Programme\Samsung\MagicKBD\MagicKBD.exe (SAMSUNG Electronics Co., Ltd.)

PRC - C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe ()

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)

PRC - C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)

PRC - C:\Programme\Samsung\Samsung Network Manager\SNMWLANService.exe ()

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Betti\Desktop\OTL.exe (OldTimer Tools)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found

SRV - (Samsung Update Plus) -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe ()

SRV - (SNM WLAN Service) -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe ()

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)

DRV - (VMC326) -- C:\WINDOWS\system32\drivers\VMC326.sys (Vimicro Corporation)

DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)

DRV - (DNSeFilter) -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS (Samsung Electronics,.LTD)

DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)

DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()

O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)

O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)

O4 - HKLM..\Run: [MagicKeyboard] C:\Programme\Samsung\MagicKBD\PreMKbd.exe ()

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - Unable to read "AutoRun" value or value not present!

O32 - AutoRun File - [2008.11.03 14:41:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: 6to4 -  File not found

NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)

Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)

Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)

Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)

Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)

Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)

Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)

Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)

Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)

Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)

Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)

Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)

Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (16902109354000384)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.12.19 20:49:35 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Betti\Desktop\OTL.exe

[2010.12.19 20:40:33 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip

[2010.12.19 13:22:53 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Betti\UserData

[2010.12.19 13:22:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Betti\Anwendungsdaten\Macromedia

[2010.12.19 13:10:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Betti\Anwendungsdaten\Malwarebytes

[2010.12.19 13:10:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.12.19 13:10:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.12.19 13:10:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.12.19 13:10:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.12.19 13:09:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution

[2010.12.19 13:09:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood

[2010.12.18 01:49:56 | 007,622,112 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Betti\Eigene Dateien\mbam-setup.exe

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.12.19 20:49:47 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Betti\Desktop\OTL.exe

[2010.12.19 20:39:47 | 001,110,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Betti\Eigene Dateien\7z920.exe

[2010.12.19 13:10:24 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.12.19 13:08:30 | 000,005,632 | ---- | M] () -- C:\Dokumente und Einstellungen\Betti\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.12.19 12:12:20 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.12.19 12:12:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.12.19 12:12:16 | 1063,702,528 | -HS- | M] () -- C:\hiberfil.sys

[2010.12.18 01:50:14 | 007,622,112 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Betti\Eigene Dateien\mbam-setup.exe

[2010.11.29 17:42:18 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.11.29 17:42:06 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.12.19 20:39:45 | 001,110,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Betti\Eigene Dateien\7z920.exe

[2010.12.19 13:10:24 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.12.19 13:08:19 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Betti\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.12.27 22:43:27 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Betti_KBD.ini

[2008.11.28 22:56:29 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2008.11.03 22:21:17 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2008.11.03 14:54:04 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI

[2008.11.03 14:54:04 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Besitzer_KBD.ini

[2008.11.03 14:54:02 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI

[2008.11.03 14:54:02 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI

[2008.11.03 14:54:02 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI

[2008.11.03 14:54:01 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI

[2008.11.03 14:54:01 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI

[2008.11.03 14:54:01 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI

[2008.11.03 14:54:01 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI

[2008.11.03 14:54:01 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI

[2008.11.03 14:54:01 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI

[2008.11.03 14:54:01 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI

[2008.11.03 14:54:01 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI

[2008.11.03 14:54:01 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI

[2008.11.03 14:54:01 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI

[2008.11.03 14:54:01 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI

[2008.11.03 14:54:01 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI

[2008.11.03 14:54:01 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI

[2008.11.03 14:54:01 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI

[2008.11.03 14:51:47 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini

[2008.11.03 14:51:47 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini

[2008.11.03 14:48:26 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll

[2008.11.03 14:45:46 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS

[2008.11.03 14:34:04 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

 
 ========== LOP Check ==========

 

[2008.11.03 14:49:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLAN

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*.* >

[2008.11.03 14:41:30 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT

[2008.12.27 22:42:16 | 000,000,211 | RHS- | M] () -- C:\boot.ini

[2008.04.14 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin

[2008.11.03 14:41:30 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS

[2010.12.19 12:12:16 | 1063,702,528 | -HS- | M] () -- C:\hiberfil.sys

[2008.11.03 14:41:30 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2008.11.03 14:41:30 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2008.04.14 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM

[2008.04.14 13:00:00 | 000,251,712 | RHS- | M] () -- C:\ntldr

[2010.12.19 12:12:15 | 1598,029,824 | -HS- | M] () -- C:\pagefile.sys

[2008.11.03 14:52:49 | 000,000,173 | ---- | M] () -- C:\Setup.log

 
 < %systemroot%\system32\*.wt >

 
 < %systemroot%\system32\*.ruy >

 
 < %systemroot%\Fonts\*.com >

 
 < %systemroot%\Fonts\*.dll >

 
 < %systemroot%\Fonts\*.ini >

[2008.11.03 14:40:54 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

 
 < %systemroot%\Fonts\*.ini2 >

 
 < %systemroot%\system32\spool\prtprocs\w32x86\*.* >

 
 < %systemroot%\REPAIR\*.bak1 >

 
 < %systemroot%\REPAIR\*.ini >

 
 < %systemroot%\system32\*.jpg >

 
 < %systemroot%\*.scr >

[2007.02.26 16:49:10 | 001,744,896 | ---- | M] (TopThinks, INC.) -- C:\WINDOWS\imagine digital freedom.scr

 
 < %systemroot%\*._sy >

 
 < %APPDATA%\Adobe\Update\*.* >

 
 < %ALLUSERSPROFILE%\Favorites\*.* >

 
 < %APPDATA%\Microsoft\*.* >

 
 < %PROGRAMFILES%\*.* >

 
 < %APPDATA%\Update\*.* >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\Tasks\*.job /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2008.11.03 15:32:46 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2008.11.03 15:32:46 | 001,069,056 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2008.11.03 15:32:45 | 000,438,272 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\system32\user32.dll /md5 >

[2008.04.14 13:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2_32.dll /md5 >

[2008.04.14 13:00:00 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2help.dll /md5 >

[2008.04.14 13:00:00 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 

 
 < MD5 for: EXPLORER.EXE  >

[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe

[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe

 
 < MD5 for: WINLOGON.EXE  >

[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe

[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

 
 <           >
 

< End of report >

--- --- ---

Extras:
OTL Logfile:

Code:

OTL Extras logfile created on: 19.12.2010 20:54:29 - Run 1

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Betti\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1.014,00 Mb Total Physical Memory | 722,00 Mb Available Physical Memory | 71,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 71,04 Gb Total Space | 65,28 Gb Free Space | 91,89% Space Free | Partition Type: NTFS

Drive D: | 72,00 Gb Total Space | 36,46 Gb Free Space | 50,63% Space Free | Partition Type: NTFS

Drive E: | 1,94 Gb Total Space | 1,91 Gb Free Space | 98,20% Space Free | Partition Type: NTFS

 

Computer Name: BETTINA | User Name: Betti | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III

"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager

"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0

"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{5CBB720F-08E6-4043-B83F-76C277AF6DE7}" = Samsung Wallpaper

"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus

"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager

"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK

"{71A51B59-E7D3-11DB-A386-005056C00008}" = Namuga 1.3M Webcam

"{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera

"{8E106A57-A17E-431D-B48F-175E42EB9F74}" = imagine digital freedom - Samsung

"{ABB14904-A11B-4F42-996C-80FD608A0F17}" = Samsung EDS

"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch

"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide

"{BD723E53-A42C-4702-AA04-1D74A0311590}" = Magic Keyboard

"{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735}" = Samsung Network Manager 2.0

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}" = Atheros WLAN Client

"7-Zip" = 7-Zip 9.20

"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX

"HDMI" = Intel(R) Graphics Media Accelerator Driver

"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus

"InstallShield_{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera

"InstallShield_{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735}" = Samsung Network Manager 2.0

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Marvell Miniport Driver" = Marvell Miniport Driver

"SynTPDeinstKey" = Synaptics Pointing Device Driver

 
 ========== Last 10 Event Log Errors ==========

 

[ System Events ]

Error - 17.12.2010 19:05:12 | Computer Name = BETTINA | Source = Windows Update Agent | ID = 16

Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst

 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 

angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,

 eine Verbindung herzustellen.

 

 

< End of report >

--- --- ---

Gruß Chris

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Oha, da is aber ne Menge drauf...

hier der log vom scan:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)

# OnlineScanner.ocx=1.0.0.6415

# api_version=3.0.2

# EOSSerial=a28886ac485fac4cbfe70a4d8d1bf701

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-12-20 03:19:28

# local_time=2010-12-20 04:19:28 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 3845 3845 0 0

# scanned=189638

# found=15

# cleaned=0

# scan_time=18460

D:\SamsungRecovery\SamsungData\DataBackup#(2010-12-17.194938)\C Drive\Dokumente und Einstellungen\Betti\Eigene Dateien\Arbeit\Software\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

D:\SamsungRecovery\SamsungData\DataBackup#(2010-12-17.194938)\C Drive\Dokumente und Einstellungen\Betti\Eigene Dateien\Arbeit\Software\Programme reseller\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

D:\SamsungRecovery\SamsungData\DataBackup#(2010-12-17.194938)\C Drive\Dokumente und Einstellungen\Betti\Eigene Dateien\Arbeit\Software\Programme reseller\sell_using_the_web.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP5\A0005550.exe        a variant of Win32/TrojanDropper.Agent.OZI trojan (unable to clean)        00000000000000000000000000000000        I

E:\Arbeit\Software\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Arbeit\Software\Programme reseller\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Arbeit\Software\Programme reseller\sell_using_the_web.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\Programme reseller\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\Programme reseller\sell_using_the_web.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\building_your_automatic_money_machine\BYAMM.exe        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\Nero 8 Ultra Edition 8.3.6.0\Nero-8.3.6.0_deu_trial.exe        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I

E:\Backup\Backup Netbook 25.05.2010\Arbeit\Software\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Backup\Backup Netbook 25.05.2010\Arbeit\Software\Programme reseller\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Backup\Backup Netbook 25.05.2010\Arbeit\Software\Programme reseller\sell_using_the_web.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

Gruß Chris

P.S. Sorry, guten Morgen :-)

Ich hab inzwischen einen Teil der Dateien gelöscht und neu gescannt:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=a28886ac485fac4cbfe70a4d8d1bf701

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-12-26 02:06:16

# local_time=2010-12-26 03:06:16 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 519644 519644 0 0

# scanned=190992

# found=4

# cleaned=0

# scan_time=16669

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7 B268A5247D3F}\RP5\A0005550.exe        a variant of Win32/TrojanDropper.Agent.OZI trojan (unable to clean)        00000000000000000000000000000000        I

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001140.exe        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001141.exe        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

Gruß Chris

Hi,
ganz gut. Verrätst du mir noch wie ich den Rest noch von meinem Rechner bekomme??

Danke und Gruß

Von welchem Rest sprichst Du?

Diesen:

Zitat:

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7 B268A5247D3F}\RP5\A0005550.exe a variant of Win32/TrojanDropper.Agent.OZI trojan (unable to clean) 00000000000000000000000000000000 I
E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001140.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001141.exe probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean) 00000000000000000000000000000000 I

genau, irgendwie finde ich das net... (is ne externe Festplatte...)

Wirst Du auch net finden :) Das sind nur noch Resten, welche in der Systemwiederherstellung sind.

Schritt 1

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

:Commands

[CLEARALLRESTOREPOINTS]

[emptytemp]

[reboot]

und füge es hier ein:
http://image.hijackthis.eu/upload/hjt1-021.jpg
Schließe alle Programme.
Klicke auf den Fix Button.
Klicke auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 2

CCleaner installieren und einstellen

CCleaner (Slim ohne Toolbar) herunterladen und installieren.
CCleaner starten und => unter options settings => german einstellen.
Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".
Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Guten Morgen,

hier ist der Code von OTL.exe:

Code:

All processes killed

========== COMMANDS ==========

Restore points cleared and new OTL Restore Point set!

 

[EMPTYTEMP]

 

User: All Users

 

User: Betti

->Temp folder emptied: 590924 bytes

->Temporary Internet Files folder emptied: 20400141 bytes

->Flash cache emptied: 405 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32768 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 50470 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 20,00 mb

 

 

OTL by OldTimer - Version 3.2.17.3 log created on 12272010_090439
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Gruß Chris

CCleaner ist auch durchgelaufen, muss ich noch etwas machen??

Gruß Chris

Ich hab jetzt nochmal gescannt:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=a28886ac485fac4cbfe70a4d8d1bf701

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-12-26 02:06:16

# local_time=2010-12-26 03:06:16 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 519644 519644 0 0

# scanned=190992

# found=4

# cleaned=0

# scan_time=16669

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP5\A0005550.exe        a variant of Win32/TrojanDropper.Agent.OZI trojan (unable to clean)        00000000000000000000000000000000        I

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001140.exe        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I

E:\System Volume Information\_restore{07F9C539-D216-4488-A6C7-B268A5247D3F}\RP6\A0001141.exe        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

E:\Software Programme\building_your_automatic_money_machine.zip        probably a variant of Win32/PSW.LdPinch.NKFXPKC trojan (unable to clean)        00000000000000000000000000000000        I

# version=7

# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=a28886ac485fac4cbfe70a4d8d1bf701

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-12-27 01:05:26

# local_time=2010-12-27 02:05:26 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 646232 646232 0 0

# scanned=189794

# found=0

# cleaned=0

# scan_time=16031

Kann ich jetzt davon ausgehen dass mein Rechner sauber ist??

Gruß Chris

Schritt 1

Lösche:
E:\Software Programme\building_your_automatic_money_machine.zip

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 2

Systemwiederherstellungpunkte leeren

Windows +E Taste drücken --> Rechtsklick über Laufwerk C --> Eigenschaften --> Bereinigen --> weitere Optionen --> Systemwiederherstellung und Schattenkopien bereinigen.

Schritt 3

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.

Schritt 4

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.

Schritt 5

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

SpywareBlaster
Ein Tutorial zur Verwendung findest Du Hier
MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
Hinweis: MBAM ersetzt keine Anti- Viren- Software.
Temp File Cleaner
TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
Ausserdem hilft es Deinen Computer zu beschleunigen.
Du kannst Dir TFC ( by OldTimer ) hier downloaden.
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
Halte Dein System aktuell
Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
Halte Deine Software aktuell
Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 6

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

NoScript
Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
AdblockPlus
Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
Es spart ausserdem Downloadkapazität.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Vielen Dank für deine Hilfe, der Rechner läuft.:dankeschoen:

Gruß Chris