Hilfe-Forum der Anti-Botnet-Experten

Win7 GEMA 2.1 Trojaner auf meinem Laptop

schlippi — Wed, 22 May 2013 19:06:13 GMT

Hallo Anti-Botnet Team,

ich finde das toll was Ihr hier macht!

Aber nun zu meinem Problem,
ich habe mir gestern einen Trojaner eingefangen und nach meinen nachforschungen ist es ein GEMA 2.1 Trojaner.

Meine erste �berlegung war das ich den Trojaner mit euerer Hilfe l�sche. Aber ich habe mir nun gedacht, wenn es sowieso besser ist das System neu aufzuspielen dann mache ich gleich das. Denn mein Windows es ist zuvor auch schon nicht mehr rund gelaufen.

Nun habe ich folgende Fragen:
Wenn ich eine Bootdatei von meinem behafteten System erstelle, nehme ich den Trojaner dann mit ins neu aufgespielete Windows?
Wenn ja wie muss ich vorgehen?
Kann ich meine Daten (Bilder, Videos, Musik ...) ohne bedenken auf eine externe Festplatte kopieren?
Muss ich sonst noch was beachten?

Freue mich auf Eure Hilfe!

Schlippi

Wei�er Monitor - Frst.txt erstellt - wer hilft?

Trojan_horse — Wed, 22 May 2013 17:46:43 GMT

Bitte um fixlist.txt f�r frst.txt (im Anhang)
Acer Laptop mit Win7 Home 64
Herzlichsten Dank

Angeh�ngte Dateien

FRST.txt (15,5 KB)

GVU Trojaner entfernen

schuft — Wed, 22 May 2013 15:42:13 GMT

Moin,

habe mit otlpe bereits die otl.txt Datei erstellt aber leider keine extras.txt erhalten. Ist auch nicht auf C:\

habe die otl.txt mal hochgeladen und den usernamen so gelassen wie er ist. hoffe unkritisch. muss unbedingt an ein Programm drankommen wegen der Einstellungen.

Vielleicht kann mir hier jemand helfe und mir schnellstm�glich diese sogenannte Skript Datei erstellen.

Vielen Vielen Dank

Sascha

Angeh�ngte Dateien

OTL.txt (101,3 KB)

Win7 Heimdal meldet t�glich die gleiche Bedrohung, kann aber keine Abhilfe schaffen

hilfesucher — Wed, 22 May 2013 14:47:26 GMT

hallo an Alle,
ich habe das Programm Heimdal installiert und bekomme immer die gleiche Fehlermeldung: Ihr PC muss aktualisiert werden ! Ursache: SunIre 1.7.0 update13 32 bit. Beim Status erscheint immer der rote Kreis mit weissem Kreuz !
In meinen Programmen in der Systemsteuerung ist aufgef�hrt: Java 7 update 13 32 bit und Java 7 update 21 ( 64 bit ) - mein PC l�uft mit 64 bit. Ich wollte das update 13 deinstallieren, ist aber nicht m�glich. Fehler:" Die Funktion die Sie verwenden m�chten befindet sich auf einer Netzressource, die nicht zur Verf�gung steht".Eine Deinstallation mit "unlocker" ist aus dem gleichen Grund nicht m�glich, auch mit Java Ra war keine Entfernung m�glich - Heimdal meldet weiter lustig die Gefahr:rofl: Der Browser ist laut Ihrem Scannerdurchlauf OK ! Was soll ich tun ?

Bitte um Hilfe

Lg

Win7 �rger mit V9 Seite

pc neuling — Wed, 22 May 2013 13:18:34 GMT

Hallo , bin neu hier im Forum und ben�tige dringend Hilfe !!! Habe seit Tagen auf meiner Startseite vom Internet eine V9 Seite die nicht nur nervt sondern auch nicht zu entfernen ist !! Cookies sind gesperrt und add-ons sind nicht auf zu sp�ren. Ich wei� nicht mehr weiter -- mein A-Virus hat es auch nicht gefunden

vielleicht gibt es jemanden der mir m�glichst schnell hilft vielen Dank im voraus

Win7 GVU-Trojaner, HitmanPro3.7.3 hilft nicht

highwaystar — Wed, 22 May 2013 11:47:36 GMT

Liebe Forengemeinde,

ich reihe mich ein in die GVU-Gesch�digten und bitte um Hilfe.

Der Bildschirm ist gesperrt, bei angeschlossen Netzwerkkabel sieht es wie in der angeh�ngten DAtei aus screenshotGVU.jpg, bei gezogenem Kabel ist der Bildschirm einfach wei�.

Auf dem befallenen Rechner gibt es nur das eine Benutzerkonto.

Ein Entsperrungsversuch mittels HitmanPro 3.7.3 hat leider nicht funktioniert, er erkennt lediglich eine Datei "skype.dat" als m�glich Bedrohung, sonst nichts weiter.

Bevor ich nun weiter versuche auf eigene Faust etwas zu unternehmen wende ich mich an euch mit der Frage: Was soll ich tun?

Vielen Dank und viele Gr��e

Johannes

Angeh�ngte Grafiken

screenshotGVU.jpg (978,1 KB)

Win7 GVU Trojaner

Klaus_Birkner — Wed, 22 May 2013 11:10:29 GMT

Moin,

bei mir ist eine Seite erschienen, links oben ist GVU Logo und rechts oben Logo Bundesamt f�r Sicherheit und Informationstechnik, rechts drunter Handschellen, oben links wird IP und Lokalisierung Bayreuth angezeigt (Bilder im Anhang).
Die Tools von Computerbild und Kaspersky (nur Rescue Disk) und SpyBot (ist installiert) habe ich schon versucht, auch Hitman pro 3.7.3 hat noch einen einzelnen Trojaner gekillt. Start war bei 5 St�ck, Microsoft Essentials war wohl nicht sicher. Nun findet Hitman Pro vom Stick gebootet mit Bypass nichts mehr.
Bild bleibt, wird aber nur bei einem User angezeigt, PC geht mit sauberen Usern.
Registry habe ich teilweise als Admin gecleant mit allen Verzeichnissen in der Anleitung von Computerbild.
Aber irgendwo muss noch was sein.
Kann ich alle Registry Eintr�ge nach Datum filtern?
Da w�re ich im Vorteil, derzeit kein �berblick!
Gru� Klaus

Angeh�ngte Dateien

Trojaner-oben.pdf (138,6 KB)
Trojaner-unten.pdf (1.009,8 KB)

WinXP GVU Trojaner eingefangen

Der_Doc — Wed, 22 May 2013 10:06:29 GMT

Guten Tag liebe Community,

leider habe ich mir wieder einen GVU Trojaner eingefangen. Oder eher ein Freund von mir. Da er in der IT nicht so bewandert ist und meine einfachen Mittel nicht funktioniert haben, bitte ich euch um Hilfe.

Ein OTL Log habe ich erstellt

Code:

OTL logfile created on: 5/22/2013 12:58:21 PM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 93.00% Memory free

3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 149.04 Gb Total Space | 110.63 Gb Free Space | 74.23% Space Free | Partition Type: NTFS

Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet001

 

========== Win32 Services (SafeList) ==========

 

SRV - [2013/05/22 00:03:03 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto] -- C:\DOKUME~1\ALLUSE~1\ANWEND~1\ldgdo.dat -- (winmgmt)

SRV - [2013/05/15 04:57:00 | 001,128,705 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\Avira Security Management Center Agent\agent.exe -- (AntiVir Security Management Center Agent)

SRV - [2013/05/13 02:57:19 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2013/05/06 05:00:22 | 000,562,744 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)

SRV - [2013/05/06 05:00:21 | 000,371,768 | ---- | M] (Avira Operations GmbH & Co. KG) [Disabled] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)

SRV - [2013/04/18 02:29:33 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2013/04/18 02:29:32 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2012/05/22 04:53:16 | 000,129,024 | ---- | M] (RIB IT AG) [On_Demand] -- C:\SKYLINE\install\bin\TD_GPListener.exe -- (TDGPListener)

SRV - [2011/07/15 09:33:10 | 000,702,280 | ---- | M] (RIB Software AG) [Auto] -- C:\Programme\RIB\License\RIB.License.Server.exe -- (RIB.License.Server)

SRV - [2010/05/02 23:20:00 | 002,065,296 | ---- | M] (WIBU-SYSTEMS AG) [Auto] -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)

SRV - [2010/04/01 06:39:54 | 000,069,632 | ---- | M] (Oracle Corporation) [Auto] -- C:\oracle\product\11.2.0\client_1\bin\omtsreco.exe -- (OracleMTSRecoveryService)

SRV - [2007/10/29 06:07:48 | 001,626,112 | ---- | M] (AGFEO      ) [Auto] -- C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe -- (tksock)

SRV - [2005/03/11 08:40:26 | 000,455,632 | ---- | M] (RealVNC Ltd.) [Auto] -- C:\Programme\RealVNC\VNC4\WinVNC4.exe -- (WinVNC4)

SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

 

 

========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)

DRV - File not found [Kernel | System] --  -- (PCIDump)

DRV - File not found [Kernel | Boot] --  -- (mkewc)

DRV - File not found [Kernel | System] --  -- (lbrtfdc)

DRV - File not found [Kernel | System] --  -- (i2omgmt)

DRV - File not found [Kernel | System] --  -- (Changer)

DRV - [2013/04/18 02:29:44 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)

DRV - [2013/04/18 02:29:44 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2013/04/18 02:29:43 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2013/04/18 02:29:43 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2013/03/09 06:21:52 | 000,008,704 | ---- | M] () [Kernel | On_Demand] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Microsoft\system.sys -- (GMER)

DRV - [2008/09/09 12:07:36 | 004,813,824 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2007/07/03 13:06:38 | 000,039,424 | ---- | M] (Atheros Communications Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l151x86.sys -- (AtcL001)

DRV - [2007/01/05 12:21:06 | 000,093,056 | ---- | M] (C-Media Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmiucr.SYS -- (CMISTOR)

DRV - [2004/11/23 19:00:00 | 000,548,864 | ---- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)

DRV - [2004/11/23 19:00:00 | 000,053,248 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)

DRV - [2004/08/13 04:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)

DRV - [2004/05/24 08:35:06 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)

DRV - [2001/08/17 06:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\administrator.BOMDOM_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dsl-start.computerbild.de/

IE - HKU\administrator.BOMDOM_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [Binary data over 100 bytes]

IE - HKU\administrator.BOMDOM_ON_C\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]

IE - HKU\administrator.BOMDOM_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://dsl-start.computerbild.de/

IE - HKU\administrator.BOMDOM_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\******_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dsl-start.computerbild.de/

IE - HKU\******_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.google.de/ [binary data]

IE - HKU\******_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

IE - HKU\******_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

IE - HKU\******_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

IE - HKU\******_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\drcne_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

 

IE - HKU\user_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

IE - HKU\user_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_169.dll ()

FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013/05/13 03:05:47 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013/05/13 03:05:47 | 000,000,000 | ---D | M]

 

[2013/05/13 02:56:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2013/05/13 02:57:20 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2010/11/12 13:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2013/05/13 02:57:16 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2013/05/13 02:57:16 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2013/05/13 02:57:16 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2013/05/13 02:57:16 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2013/05/13 02:57:16 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2013/05/13 02:57:16 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll ()

O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll ()

O3 - HKU\******_ON_C\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKU\******_ON_C\..\Toolbar\ShellBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll ()

O3 - HKU\******_ON_C\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll ()

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [FMStart] C:\Programme\GFI\FAXmaker Client\fmstart.exe (GFI Software Ltd)

O4 - HKLM..\Run: [SunJavaUpdateSched]  File not found

O4 - HKU\******_ON_C..\Run: [ctfmon.exe]  File not found

O4 - HKU\******_ON_C..\Run: [swg]  File not found

O4 - HKU\******_ON_C..\Run: [ydga.exe]  File not found

O4 - Startup: C:\Dokumente und Einstellungen\administrator.BOMDOM\Startmen�\Programme\Autostart\msconfig.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\******\Startmen�\Programme\Autostart\msconfig.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\Bginfo.lnk = C:\Programme\bginfo\Bginfo.exe (Sysinternals)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\administrator.BOMDOM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\******_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\drcne_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\user_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_23.dll (Sun Microsystems, Inc.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1368428298062 (WUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bombardi.local

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Gr�ne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\BGInfo.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008/09/18 09:41:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

========== Files/Folders - Created Within 30 Days ==========

 

[2013/05/22 00:03:03 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ldgdo.dat

[2013/05/22 00:03:03 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe

[2013/05/14 02:56:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\TeamViewer

[2013/05/14 02:55:58 | 003,185,336 | ---- | C] (TeamViewer) -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\gur-support.exe

[2013/05/13 16:33:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\Google

[2013/05/13 11:42:02 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe

[2013/05/13 11:41:58 | 000,000,000 | ---D | C] -- C:\_OTL

[2013/05/13 05:53:51 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\PrivacIE

[2013/05/13 05:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Lokale Einstellungen\Anwendungsdaten\Google

[2013/05/13 05:49:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\Malwarebytes

[2013/05/13 05:49:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2013/05/13 05:45:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Lokale Einstellungen\Anwendungsdaten\Mozilla

[2013/05/13 03:04:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Eigene Dateien\Downloads

[2013/05/13 02:56:41 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service

[2013/05/13 02:56:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla

[2013/05/10 15:04:31 | 009,097,384 | ---- | C] (SurfRight B.V.) -- C:\HitmanPro_32.exe

[2013/05/10 09:11:56 | 000,135,464 | ---- | C] (SurfRight B.V.) -- C:\WINDOWS\System32\LnkProtect.dll

[2013/05/10 07:25:35 | 000,000,000 | ---D | C] -- C:\Programme\HitmanPro

[2013/05/10 07:25:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro

[2013/05/10 05:53:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Lokale Einstellungen\Anwendungsdaten\Microsoft

[2013/05/10 05:52:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Identities

[2013/05/10 05:52:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\CyberLink

[2013/05/10 05:52:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Adobe

[2013/05/10 05:52:52 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Microsoft

[2013/05/10 05:52:52 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten

[2013/05/10 05:52:52 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\drcne\Cookies

[2013/05/10 05:52:52 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\drcne\Druckumgebung

[2013/05/10 05:52:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Sun

[2013/05/10 05:52:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Mozilla

[2013/05/10 05:52:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Macromedia

[2013/05/10 05:52:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Desktop

[2013/05/10 05:52:51 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\drcne\UserData

[2013/05/10 05:52:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\drcne\SendTo

[2013/05/10 05:52:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\drcne\Recent

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\Zubeh�r

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Startmen�

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Favoriten

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Eigene Dateien\Eigene Videos

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Eigene Dateien\Eigene Musik

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Eigene Dateien

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Eigene Dateien\Eigene Bilder

[2013/05/10 05:52:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\Autostart

[2013/05/10 05:52:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\drcne\Vorlagen

[2013/05/10 05:52:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\drcne\Netzwerkumgebung

[2013/05/10 05:52:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\drcne\Lokale Einstellungen

[2013/05/10 05:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\CyberLink PowerDVD 8

[2013/05/10 05:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Eigene Dateien\CyberLink

[2013/05/10 05:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\drcne\Lokale Einstellungen\Anwendungsdaten\Adobe

[2013/05/10 05:09:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\FRITZ!

[2013/05/10 05:09:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\Avira

[2013/05/10 05:07:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\IETldCache

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 

========== Files - Modified Within 30 Days ==========

 

[2013/05/22 05:13:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2013/05/22 05:06:27 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\odgdl.pad

[2013/05/22 05:06:25 | 000,000,792 | ---- | M] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Startmen�\Programme\Autostart\msconfig.lnk

[2013/05/22 05:06:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2013/05/22 01:47:36 | 000,003,038 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\odgdl.js

[2013/05/22 00:03:14 | 000,000,792 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Startmen�\Programme\Autostart\msconfig.lnk

[2013/05/22 00:03:03 | 000,119,808 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ldgdo.dat

[2013/05/22 00:03:03 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe

[2013/05/21 23:14:01 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2013/05/21 22:48:26 | 005,242,934 | ---- | M] () -- C:\WINDOWS\BGInfo.bmp

[2013/05/21 22:48:23 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2013/05/21 15:30:06 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Desktop\Microsoft Office Word 2003.lnk

[2013/05/21 15:30:00 | 000,000,006 | ---- | M] () -- C:\STARTBRZ

[2013/05/21 15:29:59 | 000,000,200 | ---- | M] () -- C:\USER.DAT

[2013/05/21 15:21:08 | 000,000,137 | ---- | M] () -- C:\KFSTXT.BAT

[2013/05/17 03:22:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\ARRIBA� finanzen

[2013/05/14 03:16:24 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Outlook starten.lnk

[2013/05/14 03:09:05 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI

[2013/05/14 03:09:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Microsoft Office

[2013/05/14 02:59:00 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\BRZ.lnk

[2013/05/14 02:56:15 | 003,185,336 | ---- | M] (TeamViewer) -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\gur-support.exe

[2013/05/14 02:53:19 | 000,000,767 | ---- | M] () -- C:\BRZKALK2.BAT

[2013/05/13 11:06:58 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\E-Mail.lnk

[2013/05/13 03:06:01 | 000,691,592 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2013/05/13 03:06:01 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2013/05/13 02:56:26 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Mozilla Firefox.lnk

[2013/05/10 09:11:56 | 000,135,464 | ---- | M] (SurfRight B.V.) -- C:\WINDOWS\System32\LnkProtect.dll

[2013/05/10 05:08:10 | 000,000,795 | ---- | M] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk

[2013/04/25 04:29:47 | 000,001,523 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ARRIBA� bauen 14.4.lnk

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 

========== Files Created - No Company Name ==========

 

[2013/05/22 05:06:24 | 000,000,792 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Startmen�\Programme\Autostart\msconfig.lnk

[2013/05/22 01:47:36 | 000,003,038 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\odgdl.js

[2013/05/22 00:03:14 | 000,000,792 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Startmen�\Programme\Autostart\msconfig.lnk

[2013/05/22 00:03:07 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\odgdl.pad

[2013/05/14 02:58:14 | 000,000,687 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\BRZ.lnk

[2013/05/14 02:58:10 | 000,000,767 | ---- | C] () -- C:\BRZKALK2.BAT

[2013/05/13 11:06:57 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Desktop\E-Mail.lnk

[2013/05/13 02:56:26 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Mozilla Firefox.lnk

[2013/05/10 05:52:57 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf

[2013/05/10 05:52:56 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

[2013/05/10 05:52:56 | 000,000,784 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk

[2013/05/10 05:52:56 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk

[2013/05/10 05:52:54 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\Remoteunterst�tzung.lnk

[2013/05/10 05:52:54 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\Internet Explorer.lnk

[2013/05/10 05:52:54 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\drcne\Startmen�\Programme\Outlook Express.lnk

[2013/04/25 04:29:47 | 000,001,523 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ARRIBA� bauen 14.4.lnk

[2013/04/21 23:59:11 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\AltShell.ini

[2012/01/09 13:56:00 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2011/08/17 07:28:22 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2011/01/27 13:22:17 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010/05/06 04:16:32 | 000,000,608 | -HS- | C] () -- C:\WINDOWS\System32\winzvprt5.sys

[2010/05/06 04:14:04 | 000,000,665 | R--- | C] () -- C:\WINDOWS\System32\hppapr11.dat

[2010/05/06 04:13:06 | 000,000,729 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini

[2010/05/06 04:05:28 | 000,199,665 | ---- | C] () -- C:\WINDOWS\hppins11.dat

[2010/05/06 04:05:28 | 000,005,707 | ---- | C] () -- C:\WINDOWS\hppmdl11.dat

[2009/09/05 04:40:42 | 000,001,408 | ---- | C] () -- C:\WINDOWS\viewer.INI

[2008/10/20 08:27:14 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\CmUCRRm.exe

[2008/10/20 08:27:14 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\CmUCREye.exe

[2008/10/20 08:27:14 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CmUCRRm.Dll

[2008/10/15 07:26:20 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll

[2008/10/15 07:14:50 | 000,002,724 | ---- | C] () -- C:\WINDOWS\DevMgr.ini

[2008/10/15 07:13:13 | 000,000,020 | ---- | C] () -- C:\WINDOWS\Hposcv07.INI

[2008/10/15 07:12:49 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini

[2008/10/15 07:12:49 | 000,000,137 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini

[2008/10/15 06:43:28 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2008/10/15 06:43:27 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini

[2008/09/26 09:04:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2008/09/26 08:34:08 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008/09/26 08:33:55 | 000,000,146 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008/09/19 04:24:35 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2008/09/18 10:36:09 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2008/09/18 10:32:43 | 000,337,056 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2008/09/18 10:27:18 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2008/09/18 10:27:10 | 000,462,652 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2008/09/18 10:27:10 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2008/09/18 10:27:10 | 000,085,542 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2008/09/18 10:27:10 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2008/09/18 10:26:59 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2008/09/18 10:26:56 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2008/09/18 10:26:56 | 000,444,164 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2008/09/18 10:26:56 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2008/09/18 10:26:56 | 000,072,040 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2008/09/18 10:26:56 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2008/09/18 10:26:56 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

[2008/09/18 10:26:55 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2008/09/18 10:26:54 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2008/09/18 10:26:54 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2008/09/18 10:26:49 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2008/09/18 10:26:48 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin

[2008/09/18 10:23:55 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys

[2008/09/18 10:05:34 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4943.dll

[2008/09/18 09:51:32 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008/09/18 09:48:49 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini

[2008/09/18 09:42:51 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2008/09/18 09:39:51 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI

[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

 

========== LOP Check ==========

 

[2008/10/15 07:24:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\RIB

[2013/05/10 05:09:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\FRITZ!

[2013/05/14 02:56:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.BOMDOM\Anwendungsdaten\TeamViewer

[2008/09/18 10:02:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search

[2008/10/15 08:10:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\FRITZ!

[2011/01/27 13:11:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Haite

[2008/10/15 07:42:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\InterTrust

[2008/10/15 07:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\RIB

[2013/03/09 06:30:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Suve

[2010/05/11 05:30:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\TeamViewer

[2013/05/10 07:25:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro

[2008/10/15 07:30:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch

[2013/04/25 04:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RIB

[2008/10/15 07:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel

[2008/09/18 10:04:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp

 

========== Purity Check ==========

 

 

 

========== Alternate Data Streams ==========

 

@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\******\Desktop\MEN�_DOS.PIF:SummaryInformation

< End of report >

Ich waere fuer jede Hilfe dankbar.

MfG
Der_Doc

GVU-Trojaner; nun hat�s mich auch erwischt...

helmut-j — Wed, 22 May 2013 09:27:59 GMT

Moin moin,

seit Sonntag bin ich nun auch "im Besitz" eines Trojaners.
Ich habe einen Computer mit 2 Festplatten.
Auf der Haupt-Festplatte befindet sich Windows 8 und auf der 2ten, die ich �berwiegend f�r EEP (eine virtuelle Eisenbahn) benutze, befindet sich Windows 7.

Irgendwie habe ich mir am Sonntag, auf der W8-Platte, diesen Trojaner eingefangen.
Beim Start von W8 erscheint zun�chst ein Fenster worin gefragt wird, mit welcher Kamera ich (was auch immer) aufnehmen m�chte.
Das dr�cke ich ohne bestimmte Angaben weg, woraufhin dieses GVU-Fenster (von Urheberrechtsverletzungen e.V.) erscheint worin ich beschuldigt werde, ein Urheberrecht verletzt zu haben und somit 100 � per PaySafeCard bezahlen soll.

Habe bereits versucht, von W7 aus die W8-Platte sowohl mit dem Virenprogramm Avast (befindet sich auf der W7-Platte, als auch mit Avira-Premium, befindet sich auf der W8-Platte zu "reinigen", leider ohne Erfolg.
Da eine exe-Datei als gef�hrlich erkannt und gel�scht wurde, erscheint das Fenster mit der Anfrage "welche Kamera..." nicht mehr.

Ich hoffe, dass man mir helfen kann und ich bald wieder W8 benutzen kann...

Schon mal besten Dank im vorraus

Computer reagiert nicht mehr

Malina_ — Wed, 22 May 2013 08:32:13 GMT

Guten morgen,

zuerst einmal m�chte ich mich daf�r entschuldigen, wenn es einen Thread der das Thema behandelt schon gibt.
Ich habe mir gestern abend einen Gema/ Suisa/ GVU Trojaner eingefangen (Bild 2.12). Dies habe ich gemeldet und mir wurde von der Polizei nahe gelegt HitmanPro.Kickstart herunterzuladen. Ich habe das Programm heruntergeladen und den USB-Stick mit meinem Laptop verbunden, allerdings reagiert dieser nicht darauf. Das Betriebssystem ist Windows 7.
Ich w�rde mich sehr dar�ber freuen, wenn mir jemand weiterhelfen k�nnte
Mit freundlichen Gr��en,
Malina

DirtyDecrypt entschl�sseln?

Flory — Tue, 21 May 2013 19:59:50 GMT

Hallo,

ich habe mir heute einen BKA Trojaner eingefangen, den mit KiPo-Bildern. Zun�chst lie� sich das Ding mit dem Kaspersky Unlocker wieder befreien. Allerdings sind nun alle Word, Excel, PDF, JPG Dateien verschl�sselt. Versucht man ein JPG zu �ffnen, erscheint die Meldung: "File is encrypted. This file can be decrypted usinf the program DirtyDecrypt.exe ...". Die �blichen Decrypter (Avira, Kaspersky) funktionieren nicht, schon weil sich die Dateigr��e zwischen Original und verschl�sselter Datei ge�ndert, n�mlich vergr��ert hat, um ca. 25 kB.

Frage: Gibt es eine Chance, die Dateien wieder zu entschl�sseln? Betriebssystem ist Windows Vista.

GVU Virus Hitmanpro ohne funktion

Chrischiii — Tue, 21 May 2013 18:59:59 GMT

Hallo zusammen, ich hab folgendes problem:

Der HP Laptop von meinem Schwager startet nicht mehr, komme zwar noch zum Windows Startbildschirm aber er nimmt das Passwort nicht mehr an.
Abgesichertermodus genau das gleich spiel.

Nun hab ich mir auch schon Hitmanpro geladen und auf einen USB-stick gepackt
genau nach anleitung.
Er startet auch doch bei der Bootauswahl vom stick kann ich keine nummer eingeben.

Wo liegt mein fehler ???

MfG Christian

HitmenPro auch ohne Internetverbindung

muchi — Tue, 21 May 2013 18:39:10 GMT

Hallo!

Habe den BKA-Trojaner, habe USB-Stick erstellt und gebootet, HitmenPro startet, findet aber keine Internetverbindung, weil ich bisher mit dem Laptop per mobilen USB-Stick im Netz war. Ein Netzwerk war bisher nicht eingerichtet.

Funktioniert das HitmenPro auch irgendwie ohne Internetverbindung?

Win7 Win32/Ponmocup.AA Trojaner

geisha — Tue, 21 May 2013 17:26:11 GMT

Hallo,
habe mir den Win32/Ponmocup.AA Trojaner eingefangen. ESET NOD 32 Virenscanner meldet Bedrohung und dass er das nicht s�ubern kann. Ich werde, wenn ich �ber den Trojaner was googlen will und auf den entsprechenden Link klicke, auf andere Seiten umgeleitet.
Betriebssystem Win 7 Professional 64-bit Service Pack 1

W�re nett, wenn ihr mir helfen k�nntet, das Ding zu entfernen.
Vielen Dank schon mal

geisha

Win7 GVU Virus Hilfe bitte

jelo72 — Tue, 21 May 2013 14:11:48 GMT

Moin,

ich habe seit einpaar Tagen einen Gvu Virus auf meinem Computer!
In den Computer komme ich nur noch dur den Abgesicherten Modus mit Netztwerktreibern!
Jetzt wei� ich nicht was ich tun soll, um den PC wieder normal zustarten und wie ich den Virus endlich loswerde!
Ich bitte um Hilfe, denn ich kenne mich auch nicht gut damit aus!!!

Gru� jelo72