Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojaner manipuliert google (postbank tan usw) (https://www.trojaner-board.de/94276-trojaner-manipuliert-google-postbank-tan-usw.html)

_ultra_ 29.12.2010 11:24
trojaner manipuliert google (postbank tan usw)
 
hallo,
ich habe seit ein paar tagen einen trojaner bei mir entdeckt.

ich weiss es gibt hier schon ein paar einträge habe ich vorher geprüft in sachen postbank trojaner
nur passt das alles nicht so recht. zudem findet es auch kein scanner. versucht habe ich malwarebytes,
antivir und ad aware. die suche im netz war bisher ergebnislos

das was ich bisher feststellen konnte ist das der trojaner die google ergebnisse modifiziert.
sucht man z.b. nach postbank tan usw gibt er eigene ergebnisse zurueck.

selbst wenn ich google.de aufrufe finde ich im quelltext sowas:

Code:
/.. google code entfernt../
<script>
var template = new Array("postbank","tans","tan","falsch");

//--REPLACE DATA--
var titles = new Array();
titles[0] = "<em>Postbank</em>f&uuml;hrt eine &Uuml;berpr&uuml;fung von TAN-Listen durch.";
titles[1] = "<em>Postbank 100 Tan</em> Liste - Trojaner-Board";
titles[2] = "<em>Postbank</em> Online-Banking";

var links = new Array();
links[0] = "hxxp://www.postbank.de/-snm-0184330278-1291240093-06af500011-0000000111-1291242357-enm-privatkunden/girokonten.html;jsessionid=F450451DA67C93DE553390A9DA602F653629.f091";
links[1] = "http://www.trojaner-board.de/69605-f...m-forum.html";
links[2] = "https://banking.postbank.de/app/welcome.do";
/../

suche ich z.b. nach postbank
gibt der trojaner auch dieses board als referenz in den sucherergebnissen zurueck und zwar:
h**p://www.trojaner-board.de/69605-fuer-alle-zukuenftigen-und-derzeitigen-helfer-auf-dem-forum.html

bei mir zu haus sieht das deutlich anders aus. der original text wird ersetzt
mit einem hinweis das alles korrekt ist wenn die tans eingegeben werden muessen..


kennt jemand diesen trojaner ?


ich hab mal otl laufen lassen ( ich hoffe soweit mit korrekten einstellungen)

Code:
OTL logfile created on: 29.12.2010 10:33:20 - Run 1
OTL by OldTimer - Version 3.2.18.0    Folder = C:\Dokumente und Einstellungen\NAME\Desktop\!mp3
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 612,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 7,61 Gb Free Space | 7,80% Space Free | Partition Type: NTFS
Drive E: | 92,77 Gb Total Space | 25,57 Gb Free Space | 27,56% Space Free | Partition Type: NTFS
Drive F: | 93,35 Gb Total Space | 5,03 Gb Free Space | 5,38% Space Free | Partition Type: NTFS
Drive G: | 93,35 Gb Total Space | 1,03 Gb Free Space | 1,10% Space Free | Partition Type: NTFS
Drive J: | 48,83 Gb Total Space | 30,17 Gb Free Space | 61,80% Space Free | Partition Type: NTFS
Drive V: | 92,26 Gb Total Space | 7,13 Gb Free Space | 7,73% Space Free | Partition Type: NTFS
Drive X: | 91,79 Gb Total Space | 40,91 Gb Free Space | 44,57% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTERNAME | User Name: NAME | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.12.28 23:57:29 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\NAME\Desktop\!mp3\OTL.exe
PRC - [2010.12.13 08:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.12.06 19:07:05 | 000,928,496 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2010.07.16 16:32:34 | 000,619,800 | ---- | M] (hxxp://tortoisesvn.net) -- C:\Programme\TortoiseSVN\bin\TSVNCache.exe
PRC - [2009.01.23 15:50:00 | 000,423,200 | ---- | M] (Sony Corporation) -- C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
PRC - [2006.03.11 20:49:16 | 000,221,184 | ---- | M] () -- C:\Programme\FlashMute\flashmute.exe
PRC - [2004.08.03 23:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.08.13 05:25:56 | 000,073,728 | R--- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\sstray.exe
PRC - [2002.12.16 16:51:24 | 000,036,864 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
PRC - [2001.05.06 11:14:22 | 000,020,549 | ---- | M] () -- C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.12.28 23:57:29 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\NAME\Desktop\!mp3\OTL.exe
MOD - [2006.03.11 20:49:16 | 000,114,688 | ---- | M] () -- C:\Programme\FlashMute\mutelib.dll
MOD - [2004.08.03 23:54:28 | 001,050,624 | R--- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = ;*.local;<local>
IE - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60242
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}:2.9.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p="
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.type: 4
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.24 15:16:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 09:46:15 | 000,000,000 | ---D | M]
 
[2009.09.11 11:14:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Extensions
[2010.12.28 22:35:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions
[2010.05.03 22:43:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2010.08.10 11:28:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\oay60wv1.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.28 22:35:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.21 05:43:42 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.21 05:43:42 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.21 05:43:42 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.21 05:43:42 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.21 05:43:42 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 20:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe (Sony Corporation)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [nForce Tray Options] C:\WINDOWS\System32\sstray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard)
O4 - HKLM..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe (Hewlett-Packard)
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [{044340E8-AA2E-509E-C29D-F0CBCE06C890}] C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu\duxy.exe (Adobe Systems Incorporated)
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [FlashMute] C:\Programme\FlashMute\flashmute.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1280422088921 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 89.27.130.33 89.27.130.34 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:AutorunsDisabled () -
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - C:\Programme\Eudora\EuShlExt.dll (Qualcomm Inc.)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2009.09.11 10:59:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.01.12 02:35:01 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\.com [@ = comfile] -- "%1" %*
O37 - HKLM\.exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.29 10:25:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\NAME\Recent
[2010.12.29 08:45:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Neuer Ordner (3)
[2010.12.28 22:56:14 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.12.28 22:22:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Malwarebytes
[2010.12.28 22:06:11 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.28 22:06:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.28 22:06:06 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.28 22:06:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.27 08:31:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Avira
[2010.12.24 15:22:04 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.12.24 15:22:02 | 000,135,096 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.24 15:22:02 | 000,061,960 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.12.24 15:22:02 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.12.24 15:22:02 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.12.24 15:22:01 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.12.24 15:22:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.12.18 09:14:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Die Unendliche Geschichte
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
[2010.12.17 18:51:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\Neuer Ordner
[2010.12.15 14:10:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed
[2010.12.13 08:30:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\fload
[2010.12.13 08:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\2col
[2010.12.11 09:33:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\HaCon
[2010.12.11 09:33:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HaCon
[2010.12.11 09:33:11 | 000,000,000 | ---D | C] -- C:\Programme\FAHRINFO
[2010.12.11 09:33:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HaCon
[2010.12.11 09:32:45 | 000,000,000 | ---D | C] -- C:\KVG Fahrplanauskunft
[2010.12.08 19:13:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2010.12.08 19:08:05 | 000,393,216 | ---- | C] (Snowbound Software Corporation (www.Snowbnd.com)) -- C:\WINDOWS\System32\hcwsnbd9.dll
[2010.12.06 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.12.06 19:03:25 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E961CE1B-C3EA-4882-9F67-F859B555D097}
[2010.12.06 17:25:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.0
[2010.12.05 12:29:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Desktop\KickAssembler
[2010.12.04 20:25:38 | 000,000,000 | ---D | C] -- C:\Programme\CamStudio
[2009.09.11 17:36:34 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe
[2009.09.11 17:36:34 | 000,416,768 | ---- | C] (Felix Fehres & Hannes Kamecke GbR) -- C:\Programme\poddox.exe
[2009.09.11 17:36:33 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsia.exe
[2009.09.11 17:36:33 | 001,150,976 | ---- | C] (Hewlet-Packard) -- C:\Programme\hpbtpg.exe
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.29 10:25:52 | 000,000,104 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.12.29 10:24:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.12.29 10:22:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.29 00:06:04 | 000,011,225 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\www.google.de.htm
[2010.12.28 22:06:11 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.28 21:59:40 | 000,059,330 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\search.htm
[2010.12.28 08:37:57 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.25 09:49:43 | 000,000,033 | ---- | M] () -- C:\WINDOWS\QkEngine.INI
[2010.12.24 17:31:03 | 000,778,106 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\SNOWMAN.MSA
[2010.12.24 17:29:38 | 000,634,537 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\snowman-2009_msa.zip
[2010.12.24 15:22:13 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.12.23 17:11:47 | 005,726,824 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\leuchtturm.jpg
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.17 18:49:24 | 000,001,097 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.12.16 09:09:07 | 000,031,605 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.zip
[2010.12.16 09:07:09 | 019,487,220 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.avi
[2010.12.16 08:56:44 | 000,001,023 | ---- | M] () -- C:\WINDOWS\d64editor.cfg
[2010.12.13 18:45:00 | 000,174,848 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.d64
[2010.12.13 08:39:39 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.13 08:39:38 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.12.13 08:34:37 | 001,314,951 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\fload.zip
[2010.12.11 09:33:16 | 000,000,021 | ---- | M] () -- C:\WINDOWS\progman.ini
[2010.12.11 09:32:33 | 002,072,576 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\KVG_Fahrplan_bis_280511.exe
[2010.12.09 09:35:57 | 000,066,781 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Kweepa-vicdoom-9c8ef98.zip
[2010.12.09 09:35:17 | 000,073,099 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg.htm
[2010.12.09 03:58:00 | 000,000,987 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petsid.prg
[2010.12.08 20:40:40 | 000,027,385 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.prg
[2010.12.08 19:12:24 | 000,000,622 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2010.12.08 18:02:38 | 000,000,256 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\312!!!.prg
[2010.12.08 12:11:53 | 000,088,064 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.08 11:50:56 | 000,009,524 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\4D0A.723
[2010.12.08 08:40:42 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.08 08:30:08 | 000,458,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.12.08 08:30:08 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.12.08 08:30:08 | 000,084,318 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.12.08 08:30:08 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.12.08 06:50:00 | 000,020,618 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg
[2010.12.07 21:33:05 | 000,052,438 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Panta_Rhei.zip
[2010.12.06 19:07:17 | 000,098,392 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.12.06 19:03:24 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.12.06 18:26:45 | 000,212,688 | ---- | M] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.zip
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.29 00:06:03 | 000,011,225 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\www.google.de.htm
[2010.12.28 22:06:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.28 21:59:39 | 000,059,330 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\search.htm
[2010.12.24 17:31:03 | 000,778,106 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\SNOWMAN.MSA
[2010.12.24 17:29:38 | 000,634,537 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\snowman-2009_msa.zip
[2010.12.24 15:22:13 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.12.23 17:21:44 | 005,726,824 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\leuchtturm.jpg
[2010.12.15 14:06:31 | 019,487,220 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\no_pets_allowed.avi
[2010.12.13 18:44:55 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.d64
[2010.12.13 08:34:36 | 001,314,951 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\fload.zip
[2010.12.11 09:33:16 | 000,000,021 | ---- | C] () -- C:\WINDOWS\progman.ini
[2010.12.11 09:32:33 | 002,072,576 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\KVG_Fahrplan_bis_280511.exe
[2010.12.09 09:36:06 | 000,020,618 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg
[2010.12.09 09:35:57 | 000,066,781 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Kweepa-vicdoom-9c8ef98.zip
[2010.12.09 09:35:16 | 000,073,099 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\vicdoom.prg.htm
[2010.12.09 09:26:19 | 000,000,987 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petsid.prg
[2010.12.08 20:41:32 | 000,027,385 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\npa.prg
[2010.12.08 19:12:24 | 000,000,622 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WinTV2000.lnk
[2010.12.08 18:02:37 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\312!!!.prg
[2010.12.08 08:38:11 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Cauldron.d64
[2010.12.07 21:33:32 | 000,174,848 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\PR.D64
[2010.12.07 21:32:56 | 000,052,438 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\Panta_Rhei.zip
[2010.12.06 19:03:24 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.12.06 18:26:44 | 000,212,688 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Desktop\petviewv1.zip
[2010.12.05 10:07:33 | 000,009,524 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\4D0A.723
[2010.09.17 17:49:56 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.08.25 20:10:33 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.07 05:50:36 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\MPMapTrace.dll
[2010.06.07 05:14:26 | 000,364,544 | ---- | C] () -- C:\WINDOWS\System32\mpPathan.dll
[2010.04.20 10:55:33 | 000,683,520 | ---- | C] () -- C:\WINDOWS\System32\ff_kernelDeint.dll
[2010.04.20 10:55:33 | 000,238,080 | ---- | C] () -- C:\WINDOWS\System32\TomsMoComp_ff.dll
[2010.04.20 10:55:33 | 000,145,609 | ---- | C] () -- C:\WINDOWS\System32\libmpeg2_ff.dll
[2010.04.20 10:55:33 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2010.04.20 10:55:33 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2010.04.20 10:55:32 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2010.04.20 10:55:32 | 000,791,742 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010.04.20 10:55:32 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2010.04.20 10:55:32 | 000,485,888 | ---- | C] () -- C:\WINDOWS\System32\ff_libfaad2.dll
[2010.04.20 10:55:32 | 000,257,024 | ---- | C] () -- C:\WINDOWS\System32\ff_libdts.dll
[2010.04.20 10:55:32 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2010.04.20 10:55:32 | 000,183,296 | ---- | C] () -- C:\WINDOWS\System32\ff_samplerate.dll
[2010.04.20 10:55:32 | 000,178,688 | ---- | C] () -- C:\WINDOWS\System32\ff_libmad.dll
[2010.04.20 10:55:32 | 000,146,944 | ---- | C] () -- C:\WINDOWS\System32\ff_tremor.dll
[2010.04.20 10:55:32 | 000,142,848 | ---- | C] () -- C:\WINDOWS\System32\ff_liba52.dll
[2010.04.20 10:55:32 | 000,113,152 | ---- | C] () -- C:\WINDOWS\System32\ff_unrar.dll
[2010.01.24 21:45:23 | 000,004,993 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xqkcebzs.dik
[2010.01.14 18:27:36 | 000,026,335 | ---- | C] () -- C:\Programme\qdrii_sram.v
[2010.01.13 20:17:37 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.11.05 18:07:20 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll
[2009.09.23 07:07:53 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.09.12 08:28:00 | 000,088,064 | ---- | C] () -- C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.11 23:26:30 | 000,061,952 | ---- | C] () -- C:\WINDOWS\System32\rmmerge2.DLL
[2009.09.11 23:26:30 | 000,009,728 | ---- | C] () -- C:\WINDOWS\System32\rmevents.DLL
[2009.09.11 18:06:49 | 000,001,097 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2009.09.11 18:02:39 | 000,003,125 | ---- | C] () -- C:\WINDOWS\FORGE32.ini
[2009.09.11 17:38:44 | 000,000,033 | ---- | C] () -- C:\WINDOWS\QkEngine.INI
[2009.09.11 17:36:35 | 000,000,039 | ---- | C] () -- C:\Programme\uninstall.bat
[2009.09.11 17:36:34 | 021,773,310 | ---- | C] () -- C:\Programme\TOOLBO~1.cab
[2009.09.11 17:36:34 | 000,545,434 | ---- | C] () -- C:\Programme\reshack.zip
[2009.09.11 17:36:34 | 000,339,972 | ---- | C] () -- C:\Programme\setuplog.txt
[2009.09.11 17:36:34 | 000,221,184 | ---- | C] () -- C:\Programme\setup.exe
[2009.09.11 17:36:34 | 000,018,865 | ---- | C] () -- C:\Programme\readme2.txt
[2009.09.11 17:36:34 | 000,009,040 | ---- | C] () -- C:\Programme\SETCON~1.cab
[2009.09.11 17:36:34 | 000,001,299 | ---- | C] () -- C:\Programme\Setup.ini
[2009.09.11 17:36:34 | 000,000,309 | ---- | C] () -- C:\Programme\response.ini
[2009.09.11 17:36:33 | 010,779,208 | ---- | C] () -- C:\Programme\hp LaserJet 1010 Series.msi
[2009.09.11 17:36:33 | 003,198,026 | ---- | C] () -- C:\Programme\fonts.cab
[2009.09.11 17:36:33 | 000,986,059 | ---- | C] () -- C:\Programme\drv9x.cab
[2009.09.11 17:36:33 | 000,146,291 | ---- | C] () -- C:\Programme\cu_readme.rtf
[2009.09.11 17:36:33 | 000,000,050 | ---- | C] () -- C:\Programme\install.bat
[2009.09.11 17:36:31 | 000,750,805 | ---- | C] () -- C:\Programme\all98.cab
[2009.09.11 17:36:31 | 000,004,667 | ---- | C] () -- C:\Programme\0x0407.ini
[2009.09.11 17:36:31 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI
[2009.09.11 17:11:10 | 000,017,604 | ---- | C] () -- C:\WINDOWS\hplj1010.ini
[2009.09.11 16:55:07 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2009.09.11 11:52:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.09.11 11:10:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini
[2009.09.11 11:08:07 | 000,018,254 | ---- | C] () -- C:\WINDOWS\System32\ssnvfx.ini
[2009.09.11 11:07:03 | 000,003,587 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.09.11 11:07:00 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.09.11 11:06:39 | 000,009,728 | R--- | C] () -- C:\WINDOWS\System32\sysinfoX64.sys
[2009.09.11 11:06:39 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\sysinfo.sys
[2008.07.01 14:14:40 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\PICBOOT32.dll
[2006.12.13 15:03:14 | 000,074,240 | ---- | C] () -- C:\WINDOWS\System32\zlibwapi.dll
[2006.03.17 12:16:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.17 12:16:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.07.17 10:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2002.05.16 00:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 14:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.04.21 19:30:14 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.04.19 15:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002.04.19 14:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2002.04.01 23:16:30 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002.04.01 23:16:14 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.04.01 23:15:40 | 000,011,264 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002.02.21 17:41:20 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2001.06.22 12:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
 
========== LOP Check ==========
 
[2010.08.23 18:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DesignSpark PCB
[2010.12.11 09:33:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HaCon
[2009.10.14 17:22:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2009.10.14 17:25:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.01.13 20:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2009.12.15 20:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STDUConverter
[2009.11.09 17:28:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10Receiver.NET
[2010.12.06 19:03:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E961CE1B-C3EA-4882-9F67-F859B555D097}
[2009.09.11 17:38:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\CE Software
[2009.11.16 20:40:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\CoSoSys
[2010.12.29 10:23:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
[2010.10.22 20:38:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\FreeVideoConverter
[2010.05.03 22:44:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\GARMIN
[2010.12.11 09:33:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HaCon
[2009.12.10 12:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\HDI
[2009.12.10 18:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\hte
[2009.09.26 16:17:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\ibf
[2009.09.11 17:49:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Leadertech
[2010.09.03 14:42:51 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Microchip
[2009.11.11 19:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Miranda
[2010.12.17 21:24:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2009.10.14 17:25:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Nokia
[2009.09.12 09:54:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\OpenOffice.org
[2009.10.14 17:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\PC Suite
[2010.08.25 17:11:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Scooter Software
[2010.10.22 21:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Search Settings
[2009.09.11 18:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Steinberg
[2009.11.27 19:00:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Subversion
[2010.07.27 18:18:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\TextPad
[2010.02.24 18:37:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\WinFF
[2010.01.03 00:22:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Xilinx
[2010.12.29 10:24:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:0BE057BBD55BA8A4

< End of report >

waer schoen wenn mir jemand nen tipp geben koennte welcher trojaner das ist...

gruss _ultra_

_ultra_ 29.12.2010 11:41
ich vermute das ist so um den 17.12 passiert...

die eintraege:
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy

sehen irgendwie komisch aus... muss ich nachher mal schauen was dort drin ist (bin gerade nicht zu haus)

markusg 29.12.2010 11:56
ich sehe es mir an.

markusg 29.12.2010 11:58
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-1275210071-1715567821-725345543-1003..\Run: [{044340E8-AA2E-509E-C29D-F0CBCE06C890}] C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu\duxy.exe
(Adobe Systems Incorporated)
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Myyqu
[2010.12.17 21:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NAME\Anwendungsdaten\Etosy
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html
lasse außerdem unverzüglich onlinebanking sperren.

_ultra_ 29.12.2010 12:19
danke fuer die schnelle antwort... werde ich nachher mal probieren...

_ultra_ 29.12.2010 12:49
so war schnell zu haus und es mal probiert...

hat geklappt... super ... vielen dank !


noch ein kleiner tipp. man merkt sofort an google das man sich das ding eingefangen hat...
wenn man z.b. nach bildern sucht und dort nichts kommt ist der trojaner aktiv...

die logs poste ich nachher mal...

markusg 29.12.2010 15:37
den upload auch nicht vergessen.
wir sammeln nur die dateien ein, du musst neu aufsetzen. da diese trojaner für uns unvollziebare enderungen machen können die zb ne neuinfektion erleichtern. oder sie instalieren versteckte komponennten
du musst also, um wieder onlinebanking machen zu können, neu aufsetzen das ist das sicherste.

_ultra_ 29.12.2010 15:55
hallo,

anbei das log:

Code:
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1275210071-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\{044340E8-AA2E-509E-C29D-F0CBCE06C890} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{044340E8-AA2E-509E-C29D-F0CBCE06C890}\ not found.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Myyqu\duxy.exe moved successfully.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Myyqu folder moved successfully.
C:\Dokumente und Einstellungen\oh\Anwendungsdaten\Etosy folder moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: gott
->Flash cache emptied: 456 bytes
 
User: LocalService
 
User: NetworkService
 
User: oh
->Flash cache emptied: 42851 bytes
 
User: test
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: gott
->Temp folder emptied: 3007168 bytes
->Temporary Internet Files folder emptied: 2604606 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 16479385 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: oh
->Temp folder emptied: 934341776 bytes
->Temporary Internet Files folder emptied: 6129342 bytes
->Java cache emptied: 66142777 bytes
->FireFox cache emptied: 81721918 bytes
->Flash cache emptied: 0 bytes
 
User: test
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 8702120 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 18244964 bytes
 
Total Files Cleaned = 1.090,00 mb
 
 
OTL by OldTimer - Version 3.2.18.0 log created on 12292010_124003

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
den upload mache ich gleich...


ich denke ich werde vorerst nicht den rechner neu aufsetzen... ich verwende das sms tan verfahren... dabei schickt mir die bank eine sms aufs handy mit teilen der ueberweisung und eine gueltige tan... da kann eigentlich nicht viel passieren... wenn was nicht stimmt merke ich das sofort...


das otl is ja nen cooles tool kannte ich nicht... und super seite ... danke nochmal ;)

ultra

markusg 29.12.2010 16:32
mobile tan ist nicht sicher. es gibt zeus varianten die dir falsche sicherheitszertifikate senden.
und diesmal hast du noch glück gehabt, beim nächsten mal wird deine überweisung vllt von nem neuen trojaner, der durch die geöffneten hintertüren instaliert wird, gefälscht, so das du denkst, du hättest einen betrag überwiesen, in warheit wurde aber alles umgeleitet und die diebe können in ruhe abheben was sie wolln.
http://virus-protect.org/artikel/too...nebanking.html
also noch mal, ich rate dir dringenst, dass du daten sicherst und neu aufsetzt, und zwar nach der anleitung die ich dir geben werde.

_ultra_ 29.12.2010 17:19
hmm...
ich denke das das nicht funktionieren wird... in der sms von der bank ist die kontonummer (oder ein teil) enthalten wohin ueberwiesen wird... der betrag... und die tan... zudem ist die tan nur kurze zeit gueltig...

sprich erst wenn ich sehe die kontonummer ist richtig gebe ich die tan ein... damit ist die kontonummer schon bei der bank... was soll da noch ein trojaner machen ?
wenn der trojaner alles abfaengt weiss er noch immer nicht meine handynummer um z.b. die sms zu faelschen...

markusg 29.12.2010 17:57
sicher funktioniert das fälschen von überweisungen, lies link 2. und ne halbe stunde oder so hat der dieb um dein bank konto leer zu räumen.
er zeigt dir falsche kontoauszüge und du guckst nicht mehr nach für 1 2 tage und der typ hat zeit, das geld abzuheben, meist im ausland. und dann hat man die rennerei.
wenn du pech hast, will die bank ein image deines systems und wenn sie feststellen das du wusstest das du nen trojaner hast könnten sie bei der rückerstattung schwierigkeiten machen.
mir persönlich ists wurscht ob du mir glaubst, ich bescheftige mich aber schon länger mit der sache.

_ultra_ 29.12.2010 19:09
das glaub ich dir @beschaeftigen... ich will mich auch nicht mit dir streiten... nur sehe ich das risiko momentan nich...

dann sag mir wie es technisch gehen soll ? ;)...

ich setze die ueberweisung ab... ich uebermittle die daten an die bank... (kontonummer usw)... wenn da ein trojaner eingreift und die sachen modifiziert (natuerlich geht das faelschen von ueberweisungen...das ist mir auch klar ;) ) sehe ich das doch sofort in der sms der bank ?
ich mein die sms kommt ja von der bank mit der kontonummer mit genau der kontonummer wo es hin soll... wenn die falsch is gebe ich natuerlich nicht die tan ein...
wenn man das nicht prueft klar... dann ist das dumm gelaufen
aber genau diese tan funktioniert auch nur mit der ueberweisung...

>mehr nach für 1 2 tage und der typ hatt zeit, das geld abzuheben, meist im ausland. und dann hatt man die rennerei.
das geht natuerlich nicht... wie denn ? wenn er ne ueberweisung startet bekomm ich doch ne sms...

das einzige was funktionieren wuerde wenn die entwickler des trojaners die handynummer aendern bei der bank ( das geht nur persoenlich ) und meine handynummer haben... nur die wahrscheinlichkeit geht ja gegen null...

ich red ja auch nur von meinem privaten pc... ob das auf smartphones unsicher ist egal... habe ich nicht ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131