Thema: Malwarebasics

  1. #1
    Ensign
    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] Malwarebasics

    Hallo,

    Einleitung

    In diesem Kapitel werde ich euch den Aufbau dieses FAQs erläutern. Es dient zur besseren Veranschaulichung für andere aktive Helfer im Malwarebereich. Ich unterteile das ganze FAQ in verschiedene Teile, der erste Teil handelt sich rund um Malware ( Was ist Malware, Vorstellung der verschiedenen Arten, Funktionen), deren Gefährlichkeit und der Entfernung von Malware.

    INHALT


    1. Vorstellung von Malware
    1.1 Virus - Schaden oder Datenklau?
    1.2 Trojaner - Bankdaten oder was?
    1.2.1 Trojaner mit Backdoorfunktionalität
    1.2.2 Rootkits - dumm oder klug?
    1.3 Wurm - vergleichbar mit einem Virus?
    1.4 Adware/Spyware

    2. Gefahren
    2.1 Allgemeine Gefahren
    2.2 Bankdatenklau - wann hört es endlich auf?
    2.3 Kann ein Virus Hardwareschaden verursachen?

    3. Entfernung von Malware
    3.1 Wie bereinigt man im Allgemeinen Malware?
    3.2 Wann bereinigen, wann formatieren?
    3.3 Tieferer Einblick in Rootkits
    3.4 Wie wertet man ein OTL Log aus?


    4. Kleine Nebeninfo
    4.1 Was macht mich zum Malwarefighter?
    4.2 Gibt es auch Schulen?


    5. Schlusswort

    Kurzes Wort über mich:

    Malwarefighter. Wat fürn komischer Name. Ne so will ich mich nennen. Ich bin in Ausbildung(Schulung) in einem englischem Forum.

    zum Diskussionsthread gehts hier lang: http://www.computerbase.de/forum/sho...5#post12788675
    Viel Spaß beim Lesen
    wünscht Gary12345
    Geändert von Gary12345 (07.05.2013 um 16:17 Uhr)

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    1. Vorstellung von Malware

    1.1 Virus - Schaden oder Datenklau?

    Ein Virus (lang: Computervirus) ist einer der ältesten Arten von Malware. Malware bezeichnet alle Arten von Viren (also Trojaner,Würmer,usw.). Ein sogenannter Computervirus verbreitet sich durch selbst erstellte Kopien und diese schreiben sich in Dokumente, Bilder oder jegliche Art von Datenträgern. Ein Computervirus ist im Vergleich zum Trojaner auf Schaden des infizierten Systems fixiert und verlangsamt ihn in einigen Fällen drastisch. Als Beispiel dient der berühmte Virus Vitro - er versucht andere Programme zu infizieren, sowas nennt man "FileInfector". Wie das englische Wort schon vermuten lässt, handelt es sich um einen recht schwierig zu entfernenden Virus, da er ja andere Programme infiziert und diese danach nicht mehr gebrauchbar sind.

    1.2 Trojaner - Bankdaten oder was?

    Ein Trojaner (lang: Trojanisches Pferd) tarnt sich als nützliches Programm, jedoch ist es im Endeffekt schädlich. Trojaner gibt es mit Backdooreigenschaft oder den Spywareteil. Backdoors werden im nächsten Kapitel genauer vorgestellt. Spyware heißt übersetzt "Spionierware" und bedeutet soviel wie spionierendes Programm. Wie man sich aus den vorher gesagten Wörtern herausleiten kann, spioniert Spyware jegliche Art von Passwörtern aus. Reine Spyware ist in den nächsten Punkten erklärt.

    1.2.1 Trojaner mit Backdoorfunktionalität

    Ein Backdoor (übersetzt: Hintertür) ermöglicht dem Angreifendem kompletten Zugriff zum infiziertem System. Ein Backdoor besteht aus einem Server und einem Client. Der Client besitzt der angreifende PC und den Server besitzt das Opfer. Ein Backdoor kann mit dem infizierten System alles machen, was er vorhat. Jedoch sind die meisten auf Geld aus, nicht auf Schaden des Computers. Backdoors werden später im Kapitel "Entfernung von Malware" genauer analysiert.

    1.2.2 Rootkits - dumm oder klug?

    Rootkits werden meist bei Trojanern automatisch mitgeladen. Er dient zur Tarnung und versteckt schädliche Änderungen (Prozesse, Dateien,etc.) vor sogenannten Malwarescannern. Rootkits können meist nur durch Administratorenrechte gestartet werden. Genaueres bzgl Svchostprozessen (dlls) siehe später.

    1.3 Wurm - vergleichbar mit einem Virus?

    Ein Wurm (lang: Computerwurm) ähnelt einem Virus stark. Nur das er klüger geworden ist und sich über das Netzwerk verbreitet. Sonst hat sich nichts im Gegensatz zum Computervirus nichts verändert.

    1.4 Adware/Spyware

    Adware ist nervig und gegenüber dem User eher lästig als nützlich. Es lässt Werbung aufpoppen oder hängt sich fest im Browser und verändert die vom User eingestellte Startseite. Spyware sammelt Infos über den jeweiligen Benutzer und gibt es an Dritte weiter.
    Geändert von Gary12345 (04.10.2012 um 18:48 Uhr)

  4. #3
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    Gefahren

    2.1 Allgemeine Gefahren

    Allgemeine Gefahren kurz in Stichpunkten dargelegt:

    • Passwörter werden geklaut und/oder missbraucht
    • Die Angreifer können mit dem PC machen was sie wollen
    • Am PC Schaden anrichten
    • Bankdaten klauen
    • Am infiziertem System beliebige Änderungen durchführen


    2.2 Bankdatenklau - wann hört es endlich auf?

    Es gibt Backdoors (übersetzt: Hintertüre) oder sogenannte Banking-Trojaner (übersetzt: Banktrojaner) die speziell für das Ausspähen des Onlinebanking zuständig sind. Sie sind einer der gefährlichsten Trojaner und sie wird es immer wieder geben. Sie werden auch immer gefährlicher werden. Um Onlinebanking durchzuführen benutzt man am Besten Linux und eine sichere Taktik im Internet surfen zu können. Jedoch ist es immer noch am Besten, wenn man gar kein Onlinebanking vornimmt. Da gibt es aber leider sehr wenige, die das nicht tun.

    2.3 Kann ein Virus Hardwareschaden verursachen?

    Viele sagen "Nein" - das ist jedoch ein Irrtum. Sie können zwar nicht direkt die Hardware angreifen, können aber bestimmte Hardwareteile übertakten und diese so überhitzen lassen, dass diese dann leider kaputt gehen.
    Geändert von Gary12345 (04.10.2012 um 18:50 Uhr)

  5. #4
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    3. Entfernung von Malware

    3.1 Wie bereinigt man im Allgemeinen Malware?

    Grundregeln für eine komplette Bereinigung eines infizierten Systems:

    • Wissen was man tut
    • sich gut mit der Registry auskennen
    • dem User erklären können, was der nächste Schritt ist
    • Entscheiden können zwischen Bereinigen und/oder Formatieren
    • Programmierkenntnisse sind von Vorteil
    • einzelne Tools auswendig kennen lernen


    3.2 Wann bereinigen, wann formatieren

    Bereinigen sollte man nur, wenn man sich mit der Materie genaustens vertieft hat. Jedoch gilt:

    1. Ein schwer infiziertes System sollte nicht bereinigt werden
    2. die Fähigkeiten des jeweiligen Benutzers einschätzen können
    3. man muss die Malware genauestens verstehen
    4. man muss wissen, was man fixt und was nicht


    Bei Formatieren gilt:

    1. bei schwer infizierten System sollte formatiert werden
    2. wenn man nicht weiter weiß, sollte man am Besten auch formatieren


    3.3 Tieferer Einblick in Rootkits

    Rootkits:

    Rootkits werden meist bei Trojanern automatisch mitgeladen. Es dient zur Tarnung und versteckt schädliche Änderungen (Prozesse, Dateien,etc.) vor sogenannten Malwarescannern. Rootkits können meist nur durch Administratorenrechte gestartet werden. Genaueres bzgl Svchostprozessen (dlls) siehe später.
    Backdoors:

    Ein Backdoor (übersetzt: Hintertür) ermöglicht dem Angreifendem kompletten Zugriff zum infiziertem System. Ein Backdoor besteht aus einem Server und einem Client. Der Client besitzt der Angreifer und den Server besitzt das Opfer. Ein Backdoor kann mit dem infizierten System alles machen, was er vorhat. Jedoch sind die meisten auf Geld aus, nicht auf Schaden des Computers. Backdoors werden später im Kapitel "Entfernung von Malware" genauer analysiert.
    Wir gehen jetzt mal zu den verschiedenen Arten von Rootkits über:

    • Kernel-Rootkits - meistens über Treiber (.sys)
    • Speicher-Rootkits - laden sich in den Speicher, sind jedoch nach einem Neustart nicht mehr vorhanden
    • Userland-Rootkits: Rootkit mit dll


    genaueres gibt es unter Wikipedia: http://de.wikipedia.org/wiki/Rootkit

    3.4 Wie wertet man ein OTL Log aus?

    Code:
    OTL logfile created on: 04.10.2012 17:45:22 - Run 2
    OTL by OldTimer - Version 3.2.70.2     Folder = C:\Users\Test\Desktop
    64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7600.16385)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
     
    1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
    2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]
     
    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
    Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
    Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
     
    Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
     
    [color=#E56717]========== Processes (SafeList) ==========[/color]
     
    PRC - [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
     
     
    [color=#E56717]========== Modules (No Company Name) ==========[/color]
     
     
    [color=#E56717]========== Services (SafeList) ==========[/color]
     
    SRV:[b]64bit:[/b] - [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Windows\SysNative\VBoxService.exe -- (VBoxService)
    SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
     
     
    [color=#E56717]========== Driver Services (SafeList) ==========[/color]
     
    DRV:[b]64bit:[/b] - [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) [File_System | System | Running] -- C:\Windows\SysNative\drivers\VBoxSF.sys -- (VBoxSF)
    DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\VBoxGuest.sys -- (VBoxGuest)
    DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxVideo.sys -- (VBoxVideo)
    DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxMouse.sys -- (VBoxMouse)
    DRV:[b]64bit:[/b] - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
    DRV:[b]64bit:[/b] - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
    DRV:[b]64bit:[/b] - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
    DRV:[b]64bit:[/b] - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
    DRV:[b]64bit:[/b] - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
    DRV:[b]64bit:[/b] - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
    DRV:[b]64bit:[/b] - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
    DRV:[b]64bit:[/b] - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
    DRV:[b]64bit:[/b] - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
    DRV:[b]64bit:[/b] - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
    DRV:[b]64bit:[/b] - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
    DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
     
     
    [color=#E56717]========== Standard Registry (SafeList) ==========[/color]
     
     
    [color=#E56717]========== Internet Explorer ==========[/color]
     
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
     
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01  [binary data]
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
     
     
     
     
    O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
    O4:[b]64bit:[/b] - HKLM..\Run: [VBoxTray] C:\Windows\SysNative\VBoxTray.exe (Oracle Corporation)
    O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
    O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
    O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
    O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
    O13[b]64bit:[/b] - gopher Prefix: missing
    O13 - gopher Prefix: missing
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3C27DF34-47F9-40C0-99B2-10057DC1BAEF}: DhcpNameServer = 192.168.178.1
    O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
    O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2011.08.16 22:00:22 | 000,000,647 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
    O32 - AutoRun File - [2012.09.07 18:16:26 | 000,006,966 | R--- | M] () - D:\autorun.sh -- [ CDFS ]
    O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell - "" = AutoRun
    O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\VBoxWindowsAdditions.exe -- [2012.09.07 18:02:08 | 000,282,968 | R--- | M] (Oracle Corporation)
    O34 - HKLM BootExecute: (autocheck autochk *)
    O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*
    O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*
    O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*
    O37 - HKLM\...com [@ = comfile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*
    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
    O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
    O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
     
    [color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
     
    [2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
    [2012.10.04 17:44:50 | 000,601,088 | ---- | C] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
    [2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
    [2012.09.30 19:59:31 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Malwarebytes
    [2012.09.30 19:59:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
    [2012.09.30 19:59:25 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
    [2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
    [2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
    [2012.09.30 19:56:43 | 000,000,000 | ---D | C] -- C:\Users\Test\Desktop\Smartsniff
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\WinRAR
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
    [2012.09.30 09:55:35 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
    [2012.09.29 21:12:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Macromedia
    [2012.09.08 16:02:17 | 000,000,000 | ---D | C] -- C:\Windows\Panther
    [2012.09.08 15:30:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Adobe
    [2012.09.08 15:20:58 | 000,414,368 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
    [2012.09.08 15:20:57 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Macromed
    [2012.09.08 15:14:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox Guest Additions
    [2012.09.08 15:13:25 | 000,000,000 | ---D | C] -- C:\Program Files\Oracle
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\Searches
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
    [2012.09.08 15:10:35 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Identities
    [2012.09.08 15:10:32 | 000,000,000 | R--D | C] -- C:\Users\Test\Contacts
    [2012.09.08 15:10:30 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\VirtualStore
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Vorlagen
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Verlauf
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Temporary Internet Files
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Startmenü
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\SendTo
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Recent
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Netzwerkumgebung
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Lokale Einstellungen
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Videos
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Musik
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Eigene Dateien
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Bilder
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Druckumgebung
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Cookies
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Anwendungsdaten
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Anwendungsdaten
    [2012.09.08 15:10:17 | 000,000,000 | --SD | C] -- C:\Users\Test\AppData\Roaming\Microsoft
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Videos
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Saved Games
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Pictures
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Music
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Links
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Favorites
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Downloads
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Documents
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Desktop
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
    [2012.09.08 15:10:17 | 000,000,000 | -H-D | C] -- C:\Users\Test\AppData
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Temp
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Microsoft
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Media Center Programs
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Recovery
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Programme
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
    [2012.09.08 15:06:50 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
    [2012.09.08 15:03:10 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
    [2012.09.08 15:03:01 | 000,000,000 | -HSD | C] -- C:\System Volume Information
    [2012.09.07 18:08:30 | 001,733,464 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
    [2012.09.07 18:08:30 | 001,417,048 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
    [2012.09.07 18:08:26 | 001,050,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:08:26 | 000,666,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
    [2012.09.07 18:08:14 | 001,214,296 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
    [2012.09.07 18:08:10 | 001,414,488 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
    [2012.09.07 18:08:10 | 001,004,376 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
    [2012.09.07 18:08:08 | 000,103,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
    [2012.09.07 18:07:52 | 000,972,632 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
    [2012.09.07 18:07:34 | 000,290,648 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
    [2012.09.07 18:07:32 | 000,167,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:07:32 | 000,146,776 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
    [2012.09.07 18:07:32 | 000,144,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
    [2012.09.07 18:07:32 | 000,119,128 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
    [2012.09.07 18:07:20 | 000,794,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
    [2012.09.07 18:07:14 | 000,131,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
    [2012.09.07 18:02:36 | 001,380,696 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
    [2012.09.07 18:02:36 | 001,007,960 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
    [2012.09.07 18:02:36 | 000,745,816 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:02:36 | 000,483,672 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
    [2012.09.07 18:02:36 | 000,151,896 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
    [2012.09.07 18:02:36 | 000,115,032 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:02:10 | 000,250,200 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
     
    [color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
     
    [2012.10.04 17:46:15 | 000,430,080 | ---- | M] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
    [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
    [2012.09.30 19:59:26 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
    [2012.09.08 15:26:50 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
    [2012.09.08 15:26:50 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
    [2012.09.08 15:26:50 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
    [2012.09.08 15:26:50 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
    [2012.09.08 15:26:50 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
    [2012.09.08 15:22:01 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
    [2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    [2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    [2012.09.08 15:20:58 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
    [2012.09.08 15:08:11 | 000,274,464 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
    [2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
    [2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysNative\license.rtf
    [2012.09.07 18:08:30 | 001,733,464 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
    [2012.09.07 18:08:30 | 001,417,048 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
    [2012.09.07 18:08:26 | 001,050,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:08:26 | 000,666,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
    [2012.09.07 18:08:14 | 001,214,296 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
    [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
    [2012.09.07 18:08:10 | 001,004,376 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
    [2012.09.07 18:08:10 | 000,210,264 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
    [2012.09.07 18:08:08 | 000,103,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
    [2012.09.07 18:07:52 | 000,972,632 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
    [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
    [2012.09.07 18:07:32 | 000,414,552 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
    [2012.09.07 18:07:32 | 000,167,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
    [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
    [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
    [2012.09.07 18:07:20 | 000,794,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
    [2012.09.07 18:07:14 | 000,131,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
    [2012.09.07 18:02:36 | 001,380,696 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
    [2012.09.07 18:02:36 | 001,007,960 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
    [2012.09.07 18:02:36 | 000,745,816 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:02:36 | 000,483,672 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
    [2012.09.07 18:02:36 | 000,151,896 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
    [2012.09.07 18:02:36 | 000,115,032 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:02:10 | 000,250,200 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
    [2012.09.07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
     
    [color=#E56717]========== Files Created - No Company Name ==========[/color]
     
    [2012.09.30 19:59:26 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe
    [2012.09.30 09:55:54 | 000,000,032 | ---- | C] () -- C:\Users\Test\Desktop\e5c1ece9
    [2012.09.08 15:10:51 | 000,001,405 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
    [2012.09.08 15:10:45 | 000,001,439 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    [2012.09.08 15:06:31 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
    [2012.09.08 15:06:30 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
    [2012.09.07 18:08:10 | 000,210,264 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
    [2012.09.07 18:07:32 | 000,414,552 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
     
    [color=#E56717]========== ZeroAccess Check ==========[/color]
     
    [2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
     
    [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
     
    [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
     
    [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
     
    [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
     
    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
    "" = C:\Windows\SysNative\shell32.dll -- [2009.07.14 03:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Apartment
     
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
    "" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Apartment
     
    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
    "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Free
     
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
    "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Free
     
    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
    "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Both
     
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
     
    [color=#E56717]========== LOP Check ==========[/color]
     
    [2012.10.04 17:43:24 | 000,000,000 | ---D | M] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
     
    [color=#E56717]========== Purity Check ==========[/color]
     
     
    
    < End of report >
    Geändert von Gary12345 (04.10.2012 um 18:55 Uhr)

  6. #5
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    Ich lege es nur ungefähr da

    Header:

    OTL logfile created on: 04.10.2012 17:45:22 - Run 2
    OTL by OldTimer - Version 3.2.70.2 Folder = C:\Users\Test\Desktop
    64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7600.16385)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

    1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
    2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
    Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
    Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

    Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
    Das OTL Log wurde am 04.10.2012 um 17:45:22 Uhr erstellt.

    OTL by OldTimer - Version 3.2.70.2 Folder = C:\Users\Test\Desktop
    Versionsnummer und Speicherort

    64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7600.16385)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
    Benutztes Betriebssystem - Version des Internetexplorers und Land- und Datumsangabe

    1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
    2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]
    Werte über den Speicher

    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
    Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
    Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
    Werte über den Festplattenspeicher

    Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
    Angabe von Computernamens, zeigt an, ob er als Administrator angemeldet ist, ob der PC normal gestartet ist und den Scan-Modus (mit Skript oder ohne Skript)

    ========== Processes (SafeList) ==========

    PRC - [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe


    ========== Modules (No Company Name) ==========


    ========== Services (SafeList) ==========

    SRV:64bit: - [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Windows\SysNative\VBoxService.exe -- (VBoxService)
    SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)


    ========== Driver Services (SafeList) ==========

    DRV:64bit: - [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) [File_System | System | Running] -- C:\Windows\SysNative\drivers\VBoxSF.sys -- (VBoxSF)
    DRV:64bit: - [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\VBoxGuest.sys -- (VBoxGuest)
    DRV:64bit: - [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxVideo.sys -- (VBoxVideo)
    DRV:64bit: - [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxMouse.sys -- (VBoxMouse)
    DRV:64bit: - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
    DRV:64bit: - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
    DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
    DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
    DRV:64bit: - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
    DRV:64bit: - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
    DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
    DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
    DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
    DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
    DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
    DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
    Hier werden Prozesse, Module, Dienste und Treiber aufgelistet.

    ========== Internet Explorer ==========

    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01 [binary data]
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
    Hier werden die Internetexplorereinstellungen dargestellt.

    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01 [binary data]
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




    O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
    O4:64bit: - HKLM..\Run: [VBoxTray] C:\Windows\SysNative\VBoxTray.exe (Oracle Corporation)
    O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
    O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
    O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
    O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
    O1364bit: - gopher Prefix: missing
    O13 - gopher Prefix: missing
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3C27DF34-47F9-40C0-99B2-10057DC1BAEF}: DhcpNameServer = 192.168.178.1
    O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
    O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
    O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2011.08.16 22:00:22 | 000,000,647 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
    O32 - AutoRun File - [2012.09.07 18:16:26 | 000,006,966 | R--- | M] () - D:\autorun.sh -- [ CDFS ]
    O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell - "" = AutoRun
    O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\VBoxWindowsAdditions.exe -- [2012.09.07 18:02:08 | 000,282,968 | R--- | M] (Oracle Corporation)
    O34 - HKLM BootExecute: (autocheck autochk *)
    O35:64bit: - HKLM\..comfile [open] -- "%1" %*
    O35:64bit: - HKLM\..exefile [open] -- "%1" %*
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
    O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
    O37 - HKLM\...com [@ = comfile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*
    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
    O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
    O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
    Hier werden die verschiedenen Ladepunkte der Registry gelistet.

    ========== Files/Folders - Created Within 30 Days ==========

    [2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
    [2012.10.04 17:44:50 | 000,601,088 | ---- | C] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
    [2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
    [2012.09.30 19:59:31 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Malwarebytes
    [2012.09.30 19:59:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
    [2012.09.30 19:59:25 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
    [2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
    [2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
    [2012.09.30 19:56:43 | 000,000,000 | ---D | C] -- C:\Users\Test\Desktop\Smartsniff
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\WinRAR
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
    [2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
    [2012.09.30 09:55:35 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
    [2012.09.29 21:12:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Macromedia
    [2012.09.08 16:02:17 | 000,000,000 | ---D | C] -- C:\Windows\Panther
    [2012.09.08 15:30:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Adobe
    [2012.09.08 15:20:58 | 000,414,368 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
    [2012.09.08 15:20:57 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Macromed
    [2012.09.08 15:14:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox Guest Additions
    [2012.09.08 15:13:25 | 000,000,000 | ---D | C] -- C:\Program Files\Oracle
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\Searches
    [2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
    [2012.09.08 15:10:35 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Identities
    [2012.09.08 15:10:32 | 000,000,000 | R--D | C] -- C:\Users\Test\Contacts
    [2012.09.08 15:10:30 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\VirtualStore
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Vorlagen
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Verlauf
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Temporary Internet Files
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Startmenü
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\SendTo
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Recent
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Netzwerkumgebung
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Lokale Einstellungen
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Videos
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Musik
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Eigene Dateien
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Bilder
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Druckumgebung
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Cookies
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Anwendungsdaten
    [2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Anwendungsdaten
    [2012.09.08 15:10:17 | 000,000,000 | --SD | C] -- C:\Users\Test\AppData\Roaming\Microsoft
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Videos
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Saved Games
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Pictures
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Music
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Links
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Favorites
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Downloads
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Documents
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Desktop
    [2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
    [2012.09.08 15:10:17 | 000,000,000 | -H-D | C] -- C:\Users\Test\AppData
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Temp
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Microsoft
    [2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Media Center Programs
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Recovery
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Programme
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
    [2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
    [2012.09.08 15:06:50 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
    [2012.09.08 15:03:10 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
    [2012.09.08 15:03:01 | 000,000,000 | -HSD | C] -- C:\System Volume Information
    [2012.09.07 18:08:30 | 001,733,464 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
    [2012.09.07 18:08:30 | 001,417,048 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
    [2012.09.07 18:08:26 | 001,050,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:08:26 | 000,666,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
    [2012.09.07 18:08:14 | 001,214,296 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
    [2012.09.07 18:08:10 | 001,414,488 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
    [2012.09.07 18:08:10 | 001,004,376 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
    [2012.09.07 18:08:08 | 000,103,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
    [2012.09.07 18:07:52 | 000,972,632 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
    [2012.09.07 18:07:34 | 000,290,648 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
    [2012.09.07 18:07:32 | 000,167,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:07:32 | 000,146,776 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
    [2012.09.07 18:07:32 | 000,144,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
    [2012.09.07 18:07:32 | 000,119,128 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
    [2012.09.07 18:07:20 | 000,794,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
    [2012.09.07 18:07:14 | 000,131,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
    [2012.09.07 18:02:36 | 001,380,696 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
    [2012.09.07 18:02:36 | 001,007,960 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
    [2012.09.07 18:02:36 | 000,745,816 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:02:36 | 000,483,672 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
    [2012.09.07 18:02:36 | 000,151,896 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
    [2012.09.07 18:02:36 | 000,115,032 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:02:10 | 000,250,200 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll

    ========== Files - Modified Within 30 Days ==========

    [2012.10.04 17:46:15 | 000,430,080 | ---- | M] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
    [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
    [2012.09.30 19:59:26 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
    [2012.09.08 15:26:50 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
    [2012.09.08 15:26:50 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
    [2012.09.08 15:26:50 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
    [2012.09.08 15:26:50 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
    [2012.09.08 15:26:50 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
    [2012.09.08 15:22:01 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
    [2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    [2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    [2012.09.08 15:20:58 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
    [2012.09.08 15:08:11 | 000,274,464 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
    [2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
    [2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysNative\license.rtf
    [2012.09.07 18:08:30 | 001,733,464 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
    [2012.09.07 18:08:30 | 001,417,048 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
    [2012.09.07 18:08:26 | 001,050,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:08:26 | 000,666,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
    [2012.09.07 18:08:14 | 001,214,296 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
    [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
    [2012.09.07 18:08:10 | 001,004,376 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
    [2012.09.07 18:08:10 | 000,210,264 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
    [2012.09.07 18:08:08 | 000,103,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
    [2012.09.07 18:07:52 | 000,972,632 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
    [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
    [2012.09.07 18:07:32 | 000,414,552 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
    [2012.09.07 18:07:32 | 000,167,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
    [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
    [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
    [2012.09.07 18:07:20 | 000,794,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
    [2012.09.07 18:07:14 | 000,131,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
    [2012.09.07 18:02:36 | 001,380,696 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
    [2012.09.07 18:02:36 | 001,007,960 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
    [2012.09.07 18:02:36 | 000,745,816 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
    [2012.09.07 18:02:36 | 000,483,672 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
    [2012.09.07 18:02:36 | 000,151,896 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
    [2012.09.07 18:02:36 | 000,115,032 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
    [2012.09.07 18:02:10 | 000,250,200 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
    [2012.09.07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys

    ========== Files Created - No Company Name ==========

    [2012.09.30 19:59:26 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe
    [2012.09.30 09:55:54 | 000,000,032 | ---- | C] () -- C:\Users\Test\Desktop\e5c1ece9
    [2012.09.08 15:10:51 | 000,001,405 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
    [2012.09.08 15:10:45 | 000,001,439 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    [2012.09.08 15:06:31 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
    [2012.09.08 15:06:30 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
    [2012.09.07 18:08:10 | 000,210,264 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
    [2012.09.07 18:07:32 | 000,414,552 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
    Die erstellten Dateien in den letzten 30 Tagen und unsignierte Dateien.

    ========== ZeroAccess Check ==========

    [2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

    [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

    [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

    [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

    [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
    "" = C:\Windows\SysNative\shell32.dll -- [2009.07.14 03:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Apartment

    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
    "" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Apartment

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
    "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Free

    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
    "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Free

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
    "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
    "ThreadingModel" = Both

    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
    Hier wird nach dem Rootkit ZeroAccess gescannt.

    ========== LOP Check ==========

    [2012.10.04 17:43:24 | 000,000,000 | ---D | M] -- C:\Users\Test\AppData\Roaming\Eycfyycfy

    ========== Purity Check ==========
    Hier wird eine LOP und Purity-Prüfung gemacht.

    Eine ausführliche Anleitung befindet sich hier: http://www.smokey-services.eu/forums...?topic=68252.0

  7. #6
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    In dem Logfile schädliche Einträge:

    O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
    O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
    O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
    [2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
    [2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
    [2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
    [2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
    [2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe
    Was sagt uns das?

    Die beiden O4 Einträge sind Autostarteinträge, d.h. sie werden bei jedem Start des Systems automatisch mitgestartet.
    Was macht eine dll?
    Diese lässt sich meistens mit svchost starten (Dienste), das sind jedoch meistens Rootkits.
    Geändert von Gary12345 (04.10.2012 um 18:29 Uhr)

  8. #7
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    4. Kleine Nebeninfo

    4.1 Was macht mich zum Malwarefighter?

    Ein Malwarefighter kämpft gegen Malware. Aber ab welchem Zeitpunkt ist man eigentlich Malwarefighter? Malwarefighter ist man, wenn ...

    • man Malware bis auf das Innerste kennt
    • man viele Tools kennt und sie auch anwenden kann
    • man ein schwer infiziertes System vollständig bereinigen kann
    • man die Materie kennt


    4.2 Gibt es auch Schulen?

    Dazu sage ich nicht öffentliches. Schreibt mir einfach eine private Nachricht
    Geändert von Gary12345 (04.10.2012 um 18:56 Uhr)

  9. #8
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    5. Schlusswort

    Vielen Dank, dass ihr das vollständig durchgelesen habt. Wer fragen hat, kann sich per PN bei mir melden.


    Zusätzliche Info:

    Ich habe dieses FAQ komplett selbst geschrieben, daher habe ich die Urheberrechte.



    Liebe Grüße

    Gary12345
    Geändert von Gary12345 (18.03.2013 um 19:46 Uhr)

  10. #9
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Sep 2012
    Beiträge
    245

    [FAQ] AW: Malwarebasics

    Es sei noch angemerkt:

    Viele Infektionen sind noch viel komplexer und viel hartnäckiger zu entfernen. Die Theorie mit dem Neuaufsetzen ist nicht mal so falsch, man muss nur den Kerngedanken nachvollziehen können. Dennoch bin ich voll der Überzeugung, das bloßes Entfernen schädlicher Dateien und Registryschlüssel (soweit man diese erkennt) heutzutage ausreicht. Ich werde das Tutorial später nochmals überarbeiten. Es könnte auch noch mehrere Tuts von mir geben!

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •