Leserartikel Malwarebasics

Gary12345

Ensign
Registriert
Sep. 2012
Beiträge
246
Hallo,

Einleitung

In diesem Kapitel werde ich euch den Aufbau dieses FAQs erläutern. Es dient zur besseren Veranschaulichung für andere aktive Helfer im Malwarebereich. Ich unterteile das ganze FAQ in verschiedene Teile, der erste Teil handelt sich rund um Malware ( Was ist Malware, Vorstellung der verschiedenen Arten, Funktionen), deren Gefährlichkeit und der Entfernung von Malware.

INHALT


1. Vorstellung von Malware
1.1 Virus - Schaden oder Datenklau?
1.2 Trojaner - Bankdaten oder was?
1.2.1 Trojaner mit Backdoorfunktionalität
1.2.2 Rootkits - dumm oder klug?
1.3 Wurm - vergleichbar mit einem Virus?
1.4 Adware/Spyware

2. Gefahren
2.1 Allgemeine Gefahren
2.2 Bankdatenklau - wann hört es endlich auf?
2.3 Kann ein Virus Hardwareschaden verursachen?

3. Entfernung von Malware
3.1 Wie bereinigt man im Allgemeinen Malware?
3.2 Wann bereinigen, wann formatieren?
3.3 Tieferer Einblick in Rootkits
3.4 Wie wertet man ein OTL Log aus?


4. Kleine Nebeninfo
4.1 Was macht mich zum Malwarefighter?
4.2 Gibt es auch Schulen?


5. Schlusswort

Kurzes Wort über mich:

Malwarefighter. Wat fürn komischer Name. Ne so will ich mich nennen. Ich bin in Ausbildung(Schulung) in einem englischem Forum.

Viel Spaß beim Lesen
wünscht Gary12345
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Kazuja
1. Vorstellung von Malware

1.1 Virus - Schaden oder Datenklau?

Ein Virus (lang: Computervirus) ist einer der ältesten Arten von Malware. Malware bezeichnet alle Arten von Viren (also Trojaner,Würmer,usw.). Ein sogenannter Computervirus verbreitet sich durch selbst erstellte Kopien und diese schreiben sich in Dokumente, Bilder oder jegliche Art von Datenträgern. Ein Computervirus ist im Vergleich zum Trojaner auf Schaden des infizierten Systems fixiert und verlangsamt ihn in einigen Fällen drastisch. Als Beispiel dient der berühmte Virus Vitro - er versucht andere Programme zu infizieren, sowas nennt man "FileInfector". Wie das englische Wort schon vermuten lässt, handelt es sich um einen recht schwierig zu entfernenden Virus, da er ja andere Programme infiziert und diese danach nicht mehr gebrauchbar sind.

1.2 Trojaner - Bankdaten oder was?

Ein Trojaner (lang: Trojanisches Pferd) tarnt sich als nützliches Programm, jedoch ist es im Endeffekt schädlich. Trojaner gibt es mit Backdooreigenschaft oder den Spywareteil. Backdoors werden im nächsten Kapitel genauer vorgestellt. Spyware heißt übersetzt "Spionierware" und bedeutet soviel wie spionierendes Programm. Wie man sich aus den vorher gesagten Wörtern herausleiten kann, spioniert Spyware jegliche Art von Passwörtern aus. Reine Spyware ist in den nächsten Punkten erklärt.

1.2.1 Trojaner mit Backdoorfunktionalität

Ein Backdoor (übersetzt: Hintertür) ermöglicht dem Angreifendem kompletten Zugriff zum infiziertem System. Ein Backdoor besteht aus einem Server und einem Client. Der Client besitzt der angreifende PC und den Server besitzt das Opfer. Ein Backdoor kann mit dem infizierten System alles machen, was er vorhat. Jedoch sind die meisten auf Geld aus, nicht auf Schaden des Computers. Backdoors werden später im Kapitel "Entfernung von Malware" genauer analysiert.

1.2.2 Rootkits - dumm oder klug?

Rootkits werden meist bei Trojanern automatisch mitgeladen. Er dient zur Tarnung und versteckt schädliche Änderungen (Prozesse, Dateien,etc.) vor sogenannten Malwarescannern. Rootkits können meist nur durch Administratorenrechte gestartet werden. Genaueres bzgl Svchostprozessen (dlls) siehe später.

1.3 Wurm - vergleichbar mit einem Virus?

Ein Wurm (lang: Computerwurm) ähnelt einem Virus stark. Nur das er klüger geworden ist und sich über das Netzwerk verbreitet. Sonst hat sich nichts im Gegensatz zum Computervirus nichts verändert.

1.4 Adware/Spyware

Adware ist nervig und gegenüber dem User eher lästig als nützlich. Es lässt Werbung aufpoppen oder hängt sich fest im Browser und verändert die vom User eingestellte Startseite. Spyware sammelt Infos über den jeweiligen Benutzer und gibt es an Dritte weiter.
 
Zuletzt bearbeitet:
Gefahren

2.1 Allgemeine Gefahren

Allgemeine Gefahren kurz in Stichpunkten dargelegt:

  • Passwörter werden geklaut und/oder missbraucht
  • Die Angreifer können mit dem PC machen was sie wollen
  • Am PC Schaden anrichten
  • Bankdaten klauen
  • Am infiziertem System beliebige Änderungen durchführen

2.2 Bankdatenklau - wann hört es endlich auf?

Es gibt Backdoors (übersetzt: Hintertüre) oder sogenannte Banking-Trojaner (übersetzt: Banktrojaner) die speziell für das Ausspähen des Onlinebanking zuständig sind. Sie sind einer der gefährlichsten Trojaner und sie wird es immer wieder geben. Sie werden auch immer gefährlicher werden. Um Onlinebanking durchzuführen benutzt man am Besten Linux und eine sichere Taktik im Internet surfen zu können. Jedoch ist es immer noch am Besten, wenn man gar kein Onlinebanking vornimmt. Da gibt es aber leider sehr wenige, die das nicht tun.

2.3 Kann ein Virus Hardwareschaden verursachen?

Viele sagen "Nein" - das ist jedoch ein Irrtum. Sie können zwar nicht direkt die Hardware angreifen, können aber bestimmte Hardwareteile übertakten und diese so überhitzen lassen, dass diese dann leider kaputt gehen.
 
Zuletzt bearbeitet:
3. Entfernung von Malware

3.1 Wie bereinigt man im Allgemeinen Malware?

Grundregeln für eine komplette Bereinigung eines infizierten Systems:

  • Wissen was man tut
  • sich gut mit der Registry auskennen
  • dem User erklären können, was der nächste Schritt ist
  • Entscheiden können zwischen Bereinigen und/oder Formatieren
  • Programmierkenntnisse sind von Vorteil
  • einzelne Tools auswendig kennen lernen

3.2 Wann bereinigen, wann formatieren

Bereinigen sollte man nur, wenn man sich mit der Materie genaustens vertieft hat. Jedoch gilt:

  1. Ein schwer infiziertes System sollte nicht bereinigt werden
  2. die Fähigkeiten des jeweiligen Benutzers einschätzen können
  3. man muss die Malware genauestens verstehen
  4. man muss wissen, was man fixt und was nicht

Bei Formatieren gilt:

  1. bei schwer infizierten System sollte formatiert werden
  2. wenn man nicht weiter weiß, sollte man am Besten auch formatieren

3.3 Tieferer Einblick in Rootkits

Rootkits:

Rootkits werden meist bei Trojanern automatisch mitgeladen. Es dient zur Tarnung und versteckt schädliche Änderungen (Prozesse, Dateien,etc.) vor sogenannten Malwarescannern. Rootkits können meist nur durch Administratorenrechte gestartet werden. Genaueres bzgl Svchostprozessen (dlls) siehe später.

Backdoors:

Ein Backdoor (übersetzt: Hintertür) ermöglicht dem Angreifendem kompletten Zugriff zum infiziertem System. Ein Backdoor besteht aus einem Server und einem Client. Der Client besitzt der Angreifer und den Server besitzt das Opfer. Ein Backdoor kann mit dem infizierten System alles machen, was er vorhat. Jedoch sind die meisten auf Geld aus, nicht auf Schaden des Computers. Backdoors werden später im Kapitel "Entfernung von Malware" genauer analysiert.

Wir gehen jetzt mal zu den verschiedenen Arten von Rootkits über:

  • Kernel-Rootkits - meistens über Treiber (.sys)
  • Speicher-Rootkits - laden sich in den Speicher, sind jedoch nach einem Neustart nicht mehr vorhanden
  • Userland-Rootkits: Rootkit mit dll

genaueres gibt es unter Wikipedia: http://de.wikipedia.org/wiki/Rootkit

3.4 Wie wertet man ein OTL Log aus?

Code:
OTL logfile created on: 04.10.2012 17:45:22 - Run 2
OTL by OldTimer - Version 3.2.70.2     Folder = C:\Users\Test\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
 
 
[color=#E56717]========== Modules (No Company Name) ==========[/color]
 
 
[color=#E56717]========== Services (SafeList) ==========[/color]
 
SRV:[b]64bit:[/b] - [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Windows\SysNative\VBoxService.exe -- (VBoxService)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV:[b]64bit:[/b] - [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) [File_System | System | Running] -- C:\Windows\SysNative\drivers\VBoxSF.sys -- (VBoxSF)
DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\VBoxGuest.sys -- (VBoxGuest)
DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxVideo.sys -- (VBoxVideo)
DRV:[b]64bit:[/b] - [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxMouse.sys -- (VBoxMouse)
DRV:[b]64bit:[/b] - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:[b]64bit:[/b] - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:[b]64bit:[/b] - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:[b]64bit:[/b] - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:[b]64bit:[/b] - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:[b]64bit:[/b] - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:[b]64bit:[/b] - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:[b]64bit:[/b] - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:[b]64bit:[/b] - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:[b]64bit:[/b] - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:[b]64bit:[/b] - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4:[b]64bit:[/b] - HKLM..\Run: [VBoxTray] C:\Windows\SysNative\VBoxTray.exe (Oracle Corporation)
O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13[b]64bit:[/b] - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3C27DF34-47F9-40C0-99B2-10057DC1BAEF}: DhcpNameServer = 192.168.178.1
O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.08.16 22:00:22 | 000,000,647 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2012.09.07 18:16:26 | 000,006,966 | R--- | M] () - D:\autorun.sh -- [ CDFS ]
O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\VBoxWindowsAdditions.exe -- [2012.09.07 18:02:08 | 000,282,968 | R--- | M] (Oracle Corporation)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*
O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
[2012.10.04 17:44:50 | 000,601,088 | ---- | C] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
[2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
[2012.09.30 19:59:31 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Malwarebytes
[2012.09.30 19:59:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.09.30 19:59:25 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.09.30 19:56:43 | 000,000,000 | ---D | C] -- C:\Users\Test\Desktop\Smartsniff
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\WinRAR
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.09.30 09:55:35 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
[2012.09.29 21:12:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Macromedia
[2012.09.08 16:02:17 | 000,000,000 | ---D | C] -- C:\Windows\Panther
[2012.09.08 15:30:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Adobe
[2012.09.08 15:20:58 | 000,414,368 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.09.08 15:20:57 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Macromed
[2012.09.08 15:14:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox Guest Additions
[2012.09.08 15:13:25 | 000,000,000 | ---D | C] -- C:\Program Files\Oracle
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\Searches
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2012.09.08 15:10:35 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Identities
[2012.09.08 15:10:32 | 000,000,000 | R--D | C] -- C:\Users\Test\Contacts
[2012.09.08 15:10:30 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\VirtualStore
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Vorlagen
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Verlauf
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Temporary Internet Files
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Startmenü
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\SendTo
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Recent
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Netzwerkumgebung
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Lokale Einstellungen
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Videos
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Musik
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Eigene Dateien
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Bilder
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Druckumgebung
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Cookies
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Anwendungsdaten
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Anwendungsdaten
[2012.09.08 15:10:17 | 000,000,000 | --SD | C] -- C:\Users\Test\AppData\Roaming\Microsoft
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Videos
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Saved Games
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Pictures
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Music
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Links
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Favorites
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Downloads
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Documents
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Desktop
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2012.09.08 15:10:17 | 000,000,000 | -H-D | C] -- C:\Users\Test\AppData
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Temp
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Microsoft
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Media Center Programs
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Recovery
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Programme
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2012.09.08 15:06:50 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2012.09.08 15:03:10 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
[2012.09.08 15:03:01 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[2012.09.07 18:08:30 | 001,733,464 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
[2012.09.07 18:08:30 | 001,417,048 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
[2012.09.07 18:08:26 | 001,050,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
[2012.09.07 18:08:26 | 000,666,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
[2012.09.07 18:08:14 | 001,214,296 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
[2012.09.07 18:08:10 | 001,414,488 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
[2012.09.07 18:08:10 | 001,004,376 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
[2012.09.07 18:08:08 | 000,103,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
[2012.09.07 18:07:52 | 000,972,632 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
[2012.09.07 18:07:34 | 000,290,648 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
[2012.09.07 18:07:32 | 000,167,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
[2012.09.07 18:07:32 | 000,146,776 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
[2012.09.07 18:07:32 | 000,144,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
[2012.09.07 18:07:32 | 000,119,128 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
[2012.09.07 18:07:20 | 000,794,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
[2012.09.07 18:07:14 | 000,131,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
[2012.09.07 18:02:36 | 001,380,696 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
[2012.09.07 18:02:36 | 001,007,960 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
[2012.09.07 18:02:36 | 000,745,816 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
[2012.09.07 18:02:36 | 000,483,672 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
[2012.09.07 18:02:36 | 000,151,896 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
[2012.09.07 18:02:36 | 000,115,032 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
[2012.09.07 18:02:10 | 000,250,200 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2012.10.04 17:46:15 | 000,430,080 | ---- | M] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
[2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
[2012.09.30 19:59:26 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
[2012.09.08 15:26:50 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.09.08 15:26:50 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.09.08 15:26:50 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.09.08 15:26:50 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.09.08 15:26:50 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.09.08 15:22:01 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.09.08 15:20:58 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.09.08 15:08:11 | 000,274,464 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
[2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysNative\license.rtf
[2012.09.07 18:08:30 | 001,733,464 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
[2012.09.07 18:08:30 | 001,417,048 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
[2012.09.07 18:08:26 | 001,050,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
[2012.09.07 18:08:26 | 000,666,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
[2012.09.07 18:08:14 | 001,214,296 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
[2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
[2012.09.07 18:08:10 | 001,004,376 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
[2012.09.07 18:08:10 | 000,210,264 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
[2012.09.07 18:08:08 | 000,103,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
[2012.09.07 18:07:52 | 000,972,632 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
[2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
[2012.09.07 18:07:32 | 000,414,552 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
[2012.09.07 18:07:32 | 000,167,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
[2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
[2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
[2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
[2012.09.07 18:07:20 | 000,794,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
[2012.09.07 18:07:14 | 000,131,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
[2012.09.07 18:02:36 | 001,380,696 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
[2012.09.07 18:02:36 | 001,007,960 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
[2012.09.07 18:02:36 | 000,745,816 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
[2012.09.07 18:02:36 | 000,483,672 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
[2012.09.07 18:02:36 | 000,151,896 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
[2012.09.07 18:02:36 | 000,115,032 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
[2012.09.07 18:02:10 | 000,250,200 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
[2012.09.07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2012.09.30 19:59:26 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe
[2012.09.30 09:55:54 | 000,000,032 | ---- | C] () -- C:\Users\Test\Desktop\e5c1ece9
[2012.09.08 15:10:51 | 000,001,405 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[2012.09.08 15:10:45 | 000,001,439 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2012.09.08 15:06:31 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
[2012.09.08 15:06:30 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
[2012.09.07 18:08:10 | 000,210,264 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
[2012.09.07 18:07:32 | 000,414,552 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
 
[color=#E56717]========== ZeroAccess Check ==========[/color]
 
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2009.07.14 03:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2012.10.04 17:43:24 | 000,000,000 | ---D | M] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
 
[color=#E56717]========== Purity Check ==========[/color]
 
 

< End of report >
 
Zuletzt bearbeitet:
Ich lege es nur ungefähr da ;)

Header:

OTL logfile created on: 04.10.2012 17:45:22 - Run 2
OTL by OldTimer - Version 3.2.70.2 Folder = C:\Users\Test\Desktop
64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Das OTL Log wurde am 04.10.2012 um 17:45:22 Uhr erstellt.

OTL by OldTimer - Version 3.2.70.2 Folder = C:\Users\Test\Desktop

Versionsnummer und Speicherort

64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

Benutztes Betriebssystem - Version des Internetexplorers und Land- und Datumsangabe

1,49 Gb Total Physical Memory | 0,81 Gb Available Physical Memory | 54,16% Memory free
2,97 Gb Paging File | 2,21 Gb Available in Paging File | 74,45% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

Werte über den Speicher

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 24,90 Gb Total Space | 15,77 Gb Free Space | 63,35% Space Free | Partition Type: NTFS
Drive D: | 49,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Werte über den Festplattenspeicher

Computer Name: TEST-PC | User Name: Test | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Angabe von Computernamens, zeigt an, ob er als Administrator angemeldet ist, ob der PC normal gestartet ist und den Scan-Modus (mit Skript oder ohne Skript)

========== Processes (SafeList) ==========

PRC - [2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe


========== Modules (No Company Name) ==========


========== Services (SafeList) ==========

SRV:64bit: - [2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Windows\SysNative\VBoxService.exe -- (VBoxService)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)


========== Driver Services (SafeList) ==========

DRV:64bit: - [2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) [File_System | System | Running] -- C:\Windows\SysNative\drivers\VBoxSF.sys -- (VBoxSF)
DRV:64bit: - [2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\VBoxGuest.sys -- (VBoxGuest)
DRV:64bit: - [2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxVideo.sys -- (VBoxVideo)
DRV:64bit: - [2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxMouse.sys -- (VBoxMouse)
DRV:64bit: - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)

Hier werden Prozesse, Module, Dienste und Treiber aufgelistet.

========== Internet Explorer ==========

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01 [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

Hier werden die Internetexplorereinstellungen dargestellt.

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 4F 65 53 76 9E CD 01 [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4:64bit: - HKLM..\Run: [VBoxTray] C:\Windows\SysNative\VBoxTray.exe (Oracle Corporation)
O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3C27DF34-47F9-40C0-99B2-10057DC1BAEF}: DhcpNameServer = 192.168.178.1
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.08.16 22:00:22 | 000,000,647 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2012.09.07 18:16:26 | 000,006,966 | R--- | M] () - D:\autorun.sh -- [ CDFS ]
O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{7ca05670-f9b5-11e1-bc3f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\VBoxWindowsAdditions.exe -- [2012.09.07 18:02:08 | 000,282,968 | R--- | M] (Oracle Corporation)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

Hier werden die verschiedenen Ladepunkte der Registry gelistet.

========== Files/Folders - Created Within 30 Days ==========

[2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
[2012.10.04 17:44:50 | 000,601,088 | ---- | C] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
[2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
[2012.09.30 19:59:31 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Malwarebytes
[2012.09.30 19:59:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.09.30 19:59:25 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.09.30 19:59:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.09.30 19:56:43 | 000,000,000 | ---D | C] -- C:\Users\Test\Desktop\Smartsniff
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\WinRAR
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.09.30 09:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.09.30 09:55:35 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
[2012.09.29 21:12:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Macromedia
[2012.09.08 16:02:17 | 000,000,000 | ---D | C] -- C:\Windows\Panther
[2012.09.08 15:30:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Adobe
[2012.09.08 15:20:58 | 000,414,368 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.09.08 15:20:57 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Macromed
[2012.09.08 15:14:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox Guest Additions
[2012.09.08 15:13:25 | 000,000,000 | ---D | C] -- C:\Program Files\Oracle
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\Searches
[2012.09.08 15:10:43 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2012.09.08 15:10:35 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Identities
[2012.09.08 15:10:32 | 000,000,000 | R--D | C] -- C:\Users\Test\Contacts
[2012.09.08 15:10:30 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\VirtualStore
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Vorlagen
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Verlauf
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Temporary Internet Files
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Startmenü
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\SendTo
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Recent
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Netzwerkumgebung
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Lokale Einstellungen
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Videos
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Musik
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Eigene Dateien
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Documents\Eigene Bilder
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Druckumgebung
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Cookies
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\AppData\Local\Anwendungsdaten
[2012.09.08 15:10:18 | 000,000,000 | -HSD | C] -- C:\Users\Test\Anwendungsdaten
[2012.09.08 15:10:17 | 000,000,000 | --SD | C] -- C:\Users\Test\AppData\Roaming\Microsoft
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Videos
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Saved Games
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Pictures
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Music
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Links
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Favorites
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Downloads
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Documents
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\Desktop
[2012.09.08 15:10:17 | 000,000,000 | R--D | C] -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2012.09.08 15:10:17 | 000,000,000 | -H-D | C] -- C:\Users\Test\AppData
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Temp
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Local\Microsoft
[2012.09.08 15:10:17 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Media Center Programs
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Recovery
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Programme
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2012.09.08 15:10:02 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2012.09.08 15:06:50 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2012.09.08 15:03:10 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
[2012.09.08 15:03:01 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[2012.09.07 18:08:30 | 001,733,464 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
[2012.09.07 18:08:30 | 001,417,048 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
[2012.09.07 18:08:26 | 001,050,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
[2012.09.07 18:08:26 | 000,666,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
[2012.09.07 18:08:14 | 001,214,296 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
[2012.09.07 18:08:10 | 001,414,488 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
[2012.09.07 18:08:10 | 001,004,376 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
[2012.09.07 18:08:08 | 000,103,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
[2012.09.07 18:07:52 | 000,972,632 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
[2012.09.07 18:07:34 | 000,290,648 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
[2012.09.07 18:07:32 | 000,167,256 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
[2012.09.07 18:07:32 | 000,146,776 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
[2012.09.07 18:07:32 | 000,144,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
[2012.09.07 18:07:32 | 000,119,128 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
[2012.09.07 18:07:20 | 000,794,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
[2012.09.07 18:07:14 | 000,131,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
[2012.09.07 18:02:36 | 001,380,696 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
[2012.09.07 18:02:36 | 001,007,960 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
[2012.09.07 18:02:36 | 000,745,816 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
[2012.09.07 18:02:36 | 000,483,672 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
[2012.09.07 18:02:36 | 000,151,896 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
[2012.09.07 18:02:36 | 000,115,032 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
[2012.09.07 18:02:10 | 000,250,200 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll

========== Files - Modified Within 30 Days ==========

[2012.10.04 17:46:15 | 000,430,080 | ---- | M] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
[2012.10.04 17:44:51 | 000,601,088 | ---- | M] (OldTimer Tools) -- C:\Users\Test\Desktop\OTL.exe
[2012.09.30 19:59:26 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
[2012.09.08 15:26:50 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.09.08 15:26:50 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.09.08 15:26:50 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.09.08 15:26:50 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.09.08 15:26:50 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.09.08 15:22:01 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.09.08 15:21:16 | 000,009,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.09.08 15:20:58 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.09.08 15:08:11 | 000,274,464 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
[2012.09.08 15:06:43 | 000,056,735 | ---- | M] () -- C:\Windows\SysNative\license.rtf
[2012.09.07 18:08:30 | 001,733,464 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpackspu.dll
[2012.09.07 18:08:30 | 001,417,048 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGL.dll
[2012.09.07 18:08:26 | 001,050,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLfeedbackspu.dll
[2012.09.07 18:08:26 | 000,666,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLarrayspu.dll
[2012.09.07 18:08:14 | 001,214,296 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxTray.exe
[2012.09.07 18:08:10 | 001,414,488 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxService.exe
[2012.09.07 18:08:10 | 001,004,376 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxControl.exe
[2012.09.07 18:08:10 | 000,210,264 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
[2012.09.07 18:08:08 | 000,103,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxDisp.dll
[2012.09.07 18:07:52 | 000,972,632 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxMRXNP.dll
[2012.09.07 18:07:34 | 000,290,648 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxSF.sys
[2012.09.07 18:07:32 | 000,414,552 | ---- | M] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll
[2012.09.07 18:07:32 | 000,167,256 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxOGLpassthroughspu.dll
[2012.09.07 18:07:32 | 000,146,776 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxGuest.sys
[2012.09.07 18:07:32 | 000,144,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxVideo.sys
[2012.09.07 18:07:32 | 000,119,128 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\drivers\VBoxMouse.sys
[2012.09.07 18:07:20 | 000,794,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxMRXNP.dll
[2012.09.07 18:07:14 | 000,131,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\VBoxHook.dll
[2012.09.07 18:02:36 | 001,380,696 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpackspu.dll
[2012.09.07 18:02:36 | 001,007,960 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGL.dll
[2012.09.07 18:02:36 | 000,745,816 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLfeedbackspu.dll
[2012.09.07 18:02:36 | 000,483,672 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLarrayspu.dll
[2012.09.07 18:02:36 | 000,151,896 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLerrorspu.dll
[2012.09.07 18:02:36 | 000,115,032 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLpassthroughspu.dll
[2012.09.07 18:02:10 | 000,250,200 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\VBoxOGLcrutil.dll
[2012.09.07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys

========== Files Created - No Company Name ==========

[2012.09.30 19:59:26 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe
[2012.09.30 09:55:54 | 000,000,032 | ---- | C] () -- C:\Users\Test\Desktop\e5c1ece9
[2012.09.08 15:10:51 | 000,001,405 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[2012.09.08 15:10:45 | 000,001,439 | ---- | C] () -- C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2012.09.08 15:06:31 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
[2012.09.08 15:06:30 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
[2012.09.07 18:08:10 | 000,210,264 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLerrorspu.dll
[2012.09.07 18:07:32 | 000,414,552 | ---- | C] () -- C:\Windows\SysNative\VBoxOGLcrutil.dll

Die erstellten Dateien in den letzten 30 Tagen und unsignierte Dateien.

========== ZeroAccess Check ==========

[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2009.07.14 03:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

Hier wird nach dem Rootkit ZeroAccess gescannt.

========== LOP Check ==========

[2012.10.04 17:43:24 | 000,000,000 | ---D | M] -- C:\Users\Test\AppData\Roaming\Eycfyycfy

========== Purity Check ==========

Hier wird eine LOP und Purity-Prüfung gemacht.

Eine ausführliche Anleitung befindet sich hier: http://www.smokey-services.eu/forums/index.php?topic=68252.0
 
In dem Logfile schädliche Einträge:

O4 - HKCU..\Run: [483A53DA] C:\Users\Test\AppData\Roaming\Eycfyycfy\118C2827483A53DAFA23.exe (XSyL)
O4 - HKCU..\Run: [Qhgugk] C:\Users\Test\AppData\Roaming\Qhgugk.exe (Codejock Software)
O4 - HKCU..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe (Realtek Semiconductor Corp.)
[2012.10.04 17:43:24 | 000,000,000 | ---D | C] -- C:\Users\Test\AppData\Roaming\Eycfyycfy
[2012.10.04 17:46:15 | 000,430,080 | ---- | C] (Codejock Software) -- C:\Users\Test\AppData\Roaming\Qhgugk.exe
[2012.09.29 11:32:28 | 000,415,853 | ---- | M] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.29 11:31:02 | 000,000,032 | ---- | M] () -- C:\Users\Test\Desktop\e5c1ece9
[2012.09.30 09:55:54 | 000,415,853 | ---- | C] () -- C:\Users\Test\Desktop\kuyro.ull
[2012.09.30 09:55:54 | 000,183,296 | ---- | C] () -- C:\Users\Test\Desktop\ubori.exe

Was sagt uns das?

Die beiden O4 Einträge sind Autostarteinträge, d.h. sie werden bei jedem Start des Systems automatisch mitgestartet.
Was macht eine dll?
Diese lässt sich meistens mit svchost starten (Dienste), das sind jedoch meistens Rootkits.
 
Zuletzt bearbeitet:
4. Kleine Nebeninfo

4.1 Was macht mich zum Malwarefighter?

Ein Malwarefighter kämpft gegen Malware. Aber ab welchem Zeitpunkt ist man eigentlich Malwarefighter? Malwarefighter ist man, wenn ...

  • man Malware bis auf das Innerste kennt
  • man viele Tools kennt und sie auch anwenden kann
  • man ein schwer infiziertes System vollständig bereinigen kann
  • man die Materie kennt

4.2 Gibt es auch Schulen?

Dazu sage ich nicht öffentliches. Schreibt mir einfach eine private Nachricht :)
 
Zuletzt bearbeitet:
5. Schlusswort

Vielen Dank, dass ihr das vollständig durchgelesen habt. Wer fragen hat, kann sich per PN bei mir melden.


Zusätzliche Info:

Ich habe dieses FAQ komplett selbst geschrieben, daher habe ich die Urheberrechte.



Liebe Grüße

Gary12345
 
Zuletzt bearbeitet:
Es sei noch angemerkt:

Viele Infektionen sind noch viel komplexer und viel hartnäckiger zu entfernen. Die Theorie mit dem Neuaufsetzen ist nicht mal so falsch, man muss nur den Kerngedanken nachvollziehen können. Dennoch bin ich voll der Überzeugung, das bloßes Entfernen schädlicher Dateien und Registryschlüssel (soweit man diese erkennt) heutzutage ausreicht. Ich werde das Tutorial später nochmals überarbeiten. Es könnte auch noch mehrere Tuts von mir geben!
 
Nicht fies gemeint, aber als erstes fallen mir so einige Orthographie-/Grammatik-/Tippfehler auf...
 
Na zum Glück geht es nicht um Rechtschreib-basics.

edit:
Könnt man nun zweideutig aufassen.
Die Kritik galt jimknils. Die Rechtschreibung geht für mich abolut i.o.
Fehler macht jeder. Kann man Deutsch überhaupt 100% richtig schreiben? :D
 
Zuletzt bearbeitet:
N'Abend Gary12345 ;)

Um Onlinebanking vorzunehmen benutzt man am Besten Linux und eine sichere Taktig im Internet surfen zu können.

Villeicht kannst du in diesem Zusammenhang noch etwas über Linux schreiben und erklären, warum Online-Banking dort sicherer als unter Windows ist, oder wie man Linux einrichtet, damit es sicher ist. Es gibt auch spezielle Distributionen, die extra für Online-Banking entwickelt wurden. Vielleicht möchtest du das noch in deine FAQ einfließen lassen, da die Gefahr, Opfer beim Online-Banking zu werden, meiner Meinung nach nicht zu unterschätzen ist. Ich habe oft noch das Gefühl, dass viele meinen, mit Kaspersky wären sie vor allen Gefahren geschützt...
Außerdem kursieren um Linux nach wie vor noch zahlreiche Mythen...

Ansonsten eine kleine kompakte FAQ die mir gut gefällt. Dieses OTL-Tool muss ich mir mal genauer anschauen ;)
 
Villeicht kannst du in diesem Zusammenhang noch etwas über Linux schreiben und erklären, warum Online-Banking dort sicherer als unter Windows ist, oder wie man Linux einrichtet, damit es sicher ist. Es gibt auch spezielle Distributionen, die extra für Online-Banking entwickelt wurden. Vielleicht möchtest du das noch in deine FAQ einfließen lassen, da die Gefahr, Opfer beim Online-Banking zu werden, meiner Meinung nach nicht zu unterschätzen ist.

Dazu glaub ich mach ich ein extra neues FAQ auf, werde genaue Screenshots vornehmen und dieser erklären - da werde ich auch Onlinebanking spezialisieren.

Ich habe oft noch das Gefühl, dass viele meinen, mit Kaspersky wären sie vor allen Gefahren geschützt...

Deshalb bin ich hier und hoffe, die Leute mit diesem FAQ überzeugen zu können.

Ansonsten eine kleine kompakte FAQ die mir gut gefällt. Dieses OTL-Tool muss ich mir mal genauer anschauen

Danke :)

PS: Bessere gerade auch noch die Rechtschreibfehler aus :)
Ergänzung ()

Habe es so gut wie es geht ausgebessert :)
 
OK dann wollen wir mal richtig diskutieren - formatieren oder bereinigen. Wofür steht Ihr?
 
Kommt bei mir auf den Befall an. Mehr Sicherheit gibt mir eine formatierte Festplatte.
 
Richtig. Weil ich oft sehe, dass Leute behaupten, dass das Trojaner Board "Möchtegernhelfer" sind. Ich bin in einem Forum auch im Malwareteam, weiß somit von was ich spreche. Ist wird klar gesagt, dass Neuaufsetzen die bessere Wahl ist. Das sehen wohl viele nicht ein. Aber es gibt auch welche, die bereinigen alles. Das ist jedoch dumm und die da haben meist keine Ahnung von was die schreiben. Ich bvereinige RootKits nur auf Wunsch des Users. Davor weise ich ihn deutlichst hin. Bis jetzt hat fast jeder nach meinem Rat hin neuaufgesetzt.
 
Bereinigen und schauen, ob die Software das auch hinbekommt bzw. hinbekommen hat.
Danach neu Aufsetzen bzw Image zurück spielen.

Ich nehme an, du sprichst auch von einer richtigen Infektion und nicht in "Zip xy" wurde "Generic xy" beim Scan gefunden oder?
 
Zurück
Oben