Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.
Mich hat es nun leider auch erwischt, wenngleich ich bis dato der Meinung war, dass ich vorgesorgt hätte, aber dem war/ist wohl nicht so...
Während des Surfens im Internet kam plötzlich der mittlerweile bekannte Screen, der vorgibt von einer Behörde (in meinem Fall österr. Plozei) zu sein, dass auf dem Rechner illegale Vorgänge beobachtet worden seien und der PC daher gesperrt wurde; mit Zahlung von EUR 100.- via Paysafecard.... usw. Auch die Webcam wurde aktiviert.
Rechner umgehend heruntergefahren und mittels Remote-Zugriff (Hiren's Boot CD) folgende Dateien vom System entfernt:
- C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\runcft.lnk
- C:\Dokumente und EInstellungen\Markus\Lokale EinstellungenTemp\wpbt0.dll
Danach noch jene Prefetch-Dateien entfernt, die zum Zeitpunkt der Attacke bzw. danach erstellt wurden. Die Liste der entfernten Prefetch-Dateien kann bei Bedarf hier gepostet werden.
Danach System in den abgesicherten Modus gebootet (ohne Netzwerk) und einen kompletten Scan mit Malerwarebytes 1.65.1.100 mit einer etwas veraltetet Db (v2012.09.29.05) ausgeführt, der auch einiges gefunden hat (siehe 1. Log weiter unten).
Danach System neu gebootet mit Netzwerk, aber vorerst ohne Inet-Verbindung; dann habe ich für ein Db-Update kurz die Internetverbindung des PC geöffnet und Malewarebytes aktualisiert; nachdem der Rechner wieder vom Netz getrennt war und ein neues Komplettscan ausgeführt wurde, gab's leider noch einen Fund (Trojan.Ransom; siehe 2.Log unten).
Weitere Scans mit Malewarebytes & McAfee ergaben keine Funde mehr.
Anschließend wurde defogger ausgeführt und danach wurden die erforderlichen Logs mittels OTL und GMER erstellt.
Ich bin mit diesem Rechner immer noch offline, da ich leider noch eine Eigenartigkeit entdeckt habe: als ich die Defogger- und Gmer-Dateien vom USB-Stick aufrufen wollte, wurden diese nur kryptisch angezeigt, obwohl ich sie zuvor ganz normal auf den USB-Stick gespeichert habe. Ich mußte diese Programme mittels gebrannter CD auf den Rechner laden. Screenshots davon sind anbei.
Log vom 1.Komplettscan mit Malewarebytes:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.09.29.05
Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Markus :: INT3000 [Administrator]
09.12.2012 15:28:45
mbam-log-2012-12-09 (15-28-45).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394418
Laufzeit: 1 Stunde(n), 59 Minute(n), 11 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 15
HKCR\CLSID\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{12C94089-40EF-4885-860A-6CDD3E138A20} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{5623D216-E8FF-4C50-AE30-EDB906274C7D} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Suchspur.SuchspurObj.1 (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Suchspur.SuchspurObj (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (Adware.180Solutions) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FAA356E4-D317-42A6-AB41-A3021C6E7D52} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Suchspur (AdWare.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Suchen (AdWare.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Daten: 8197 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 1
C:\WINDOWS\system32\Suchspur.dll (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Log vom 2. Komplettscan Malewarebytes mit aktualiserter Db
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.12.09.03
Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Markus :: INT3000 [Administrator]
09.12.2012 18:13:11
mbam-log-2012-12-09 (18-13-11).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 403215
Laufzeit: 1 Stunde(n), 6 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D04C5UBG\myfile[1].dll (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
OTL Extras logfile created on: 11.12.2012 01:01:49 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Markus\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 82,02% Memory free
4,33 Gb Paging File | 3,98 Gb Available in Paging File | 91,91% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,56 Gb Total Space | 32,71 Gb Free Space | 43,88% Space Free | Partition Type: NTFS
Drive D: | 74,53 Gb Total Space | 48,61 Gb Free Space | 65,22% Space Free | Partition Type: NTFS
Drive E: | 56,64 Gb Total Space | 10,51 Gb Free Space | 18,56% Space Free | Partition Type: NTFS
Drive W: | 300,33 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
Drive X: | 92,41 Gb Total Space | 53,50 Gb Free Space | 57,90% Space Free | Partition Type: NTFS
Computer Name: INT3000 | User Name: Markus | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"54925:UDP" = 54925:UDP:*:Enabled:Brother Network Scanner
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Symantec\pcAnywhere\Winaw32.exe" = C:\Programme\Symantec\pcAnywhere\Winaw32.exe:*:Enabled:pcAnywhere Main Executable -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awhost32.exe" = C:\Programme\Symantec\pcAnywhere\awhost32.exe:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)
"C:\WINDOWS\system32\javaw.exe" = C:\WINDOWS\system32\javaw.exe:*:Enabled:javaw -- (Sun Microsystems, Inc.)
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:java -- (Sun Microsystems, Inc.)
"C:\Programme\Ipswitch\WS_FTP Pro\wsftpgui.exe" = C:\Programme\Ipswitch\WS_FTP Pro\wsftpgui.exe:*:Enabled:WS_FTP Pro Application
"C:\Programme\ELBA5\db\sybase\dbeng8.exe" = C:\Programme\ELBA5\db\sybase\dbeng8.exe:*:Enabled:Adaptive Server Anywhere Database Engine
"C:\Programme\ELBA5\jre\bin\javaw.exe" = C:\Programme\ELBA5\jre\bin\javaw.exe:*:Enabled:javaw -- (Sun Microsystems, Inc.)
"C:\Programme\Lexmark\MarkVision Professional\jre\bin\java.exe" = C:\Programme\Lexmark\MarkVision Professional\jre\bin\java.exe:*:Enabled:java
"C:\Programme\wincmd\WINCMD32.EXE" = C:\Programme\wincmd\WINCMD32.EXE:*:Enabled:Windows Commander 32 bit international version, file manager replacement for Windows -- (C. Ghisler & Co.)
"W:\Setup.exe" = W:\Setup.exe:*:Enabled:Setup Wizard of WAP54G
"C:\Programme\HP Web Jetadmin\hpwebjetd.exe" = C:\Programme\HP Web Jetadmin\hpwebjetd.exe:*:Enabled:Apache HTTP Server
"C:\Programme\Internet Explorer\IEXPLORE.EXE" = C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer -- (Microsoft Corporation)
"C:\Programme\GetRight\getright.exe" = C:\Programme\GetRight\getright.exe:*:Enabled:GetRight® www.getright.com -- (Headlight Software, Inc.)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\WINDOWS\system32\rundll32.exe" = C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WcesMgr.exe" = C:\Programme\Microsoft ActiveSync\WcesMgr.exe:*:Enabled:ActiveSync Application
"C:\Programme\GroupWise PDA Connect\xtndpc.exe" = C:\Programme\GroupWise PDA Connect\xtndpc.exe:*:Enabled:GroupWise PDA Connect
"C:\Programme\Gemeinsame Dateien\XCPCSync.OEM\Novell.GWPDAConnect.1.0\Translators\PocketPC2003\XCPCDTC.exe" = C:\Programme\Gemeinsame Dateien\XCPCSync.OEM\Novell.GWPDAConnect.1.0\Translators\PocketPC2003\XCPCDTC.exe:*:Enabled:XCPCDTC
"C:\Programme\Ahead\Nero ShowTime\ShowTime.exe" = C:\Programme\Ahead\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime -- (Nero AG)
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"E:\TREIBER\WLAN\LINKSYS\WPC54G\WAP54Gv3-EU_wizard\WAP54G-EU_UT_v3\Setup.exe" = E:\TREIBER\WLAN\LINKSYS\WPC54G\WAP54Gv3-EU_wizard\WAP54G-EU_UT_v3\Setup.exe:*:Enabled:Setup -- ()
"C:\Programme\Network Associates\Common Framework\FrameworkService.exe" = C:\Programme\Network Associates\Common Framework\FrameworkService.exe:*:Enabled:Framework Service
"C:\Programme\Brother\Brmfl07a\FAXRX.exe" = C:\Programme\Brother\Brmfl07a\FAXRX.exe:*:Enabled:FAXRX.EXE -- (Brother Industries Ltd.)
"C:\Programme\wincmd\TOTALCMD.EXE" = C:\Programme\wincmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows -- (Ghisler Software GmbH)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\McAfee\Common Framework\FrameworkService.exe" = C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service -- (McAfee, Inc.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
"C:\novell\GroupWise\grpwise.exe" = C:\novell\GroupWise\grpwise.exe:*:Enabled:Novell GroupWise -- (Novell, Inc.)
"C:\novell\GroupWise\notify.exe" = C:\novell\GroupWise\notify.exe:*:Enabled:Novell Notify -- (Novell, Inc.)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Programme\Brother\Brmfl08e\FAXRX.exe" = C:\Programme\Brother\Brmfl08e\FAXRX.exe:*:Enabled:FAXRX.EXE -- ()
"C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe" = C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe:*:Enabled:A-Trust Buergerkartenumgebung -- (A-Trust GmbH)
"C:\Programme\A-Trust GmbH\Bürgerkartensoftware\Einstellungen.exe" = C:\Programme\A-Trust GmbH\Bürgerkartensoftware\Einstellungen.exe:*:Enabled:A-Trust Buergerkartenumgebung - Einstellungen -- (A-Trust GmbH)
"F:\_HTTrack\WinHTTrack.exe" = F:\_HTTrack\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Copy Websites to Your Computer
"F:\__HTTrack 3.46-1\WinHTTrack.exe" = F:\__HTTrack 3.46-1\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Copy Websites to Your Computer
"C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{003447F5-0058-4B77-9C1E-50488F77C4A7}" = Brother P-touch Editor 4.2
"{02570AE0-BEE0-4A6C-BE3F-D806E9F2EA17}" = ScanSoft PaperPort 11
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08610298-29AE-445B-B37D-EFBE05802967}" = LWS Pictures And Video
"{0C6EC504-2794-4992-BE14-2F57378C1183}" = FreeCAD 0.7
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1529FCC1-F2EE-4F36-B6FF-20EF59473EDD}" = GroupWise
"{15634701-BACE-4449-8B25-1567DA8C9FD3}" = CameraHelperMsi
"{1651216E-E7AD-4250-92A1-FB8ED61391C9}" = LWS Help_main
"{174A3B31-4C43-43DD-866F-73C9DB887B48}" = LWS Twitter
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{21DF0294-6B9D-4741-AB6F-B2ABFBD2387E}" = LWS YouTube Plugin
"{21F5098D-0C9E-4637-AD49-F037F6275990}" = NMAS-Client-Komponenten
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer
"{2C42ED1E-6315-4E63-89E6-057EA114EBB8}" = MetaFrame Presentation Server Client
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35C03C04-3F1F-42C2-A989-A757EE691F65}" = McAfee VirusScan Enterprise
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = erLT
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{5242772F-7BBA-4DAE-B870-5396580A2CB1}" = DataFlash.GW.MimeLib.Lic.Generator
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6E315D6D-0F1C-4C27-920B-807B4F57C8B2}" = Brother MFL-Pro Suite MFC-5890CN
"{6F76EC3C-34B1-436E-97FB-48C58D7BEDCD}" = LWS Gallery
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{72D9B3F4-52F1-4C66-835F-A703BFE16AE1}" = GroupWise
"{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution
"{74307C3F-EBD4-11D4-A4D9-0010A4C3AFF0}" = Macromedia HomeSite 5
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{7CCC6E23-0E35-480B-8F0C-8D06F882D5D3}" = Brother QL-Series User's Guide
"{83C8FA3C-F4EA-46C4-8392-D3CE353738D6}" = LWS Launcher
"{83F3EED2-DDE2-4434-8FBE-9D2A1E7C2BC9}" = Multi-Card Reader & Flash Disk
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{86F5F7BB-F6B9-484C-9863-6029B73DC8AC}" = DataFlash DFMail-Components 1.6
"{8937D274-C281-42E4-8CDB-A0B2DF979189}" = LWS Webcam Software
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{8B4AE751-7055-4518-87B0-E148A8D50D0A}" = Macromedia FreeHand MX
"{8ED262EE-FC73-47A9-BB86-D92223246881}" = PowerChute Personal Edition 3.0.2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-00D1-0407-0000-0000000FF1CE}" = Microsoft Office Access database engine 2007 (German)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{90510409-6D54-11D4-BEE3-00C04F990354}" = Microsoft Visio Professional 2002 [English]
"{90849E84-F026-4638-A184-E6FCFD472C34}" = Brother P-touch Software
"{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}" = Nokia PC Suite
"{930B2432-43D4-11D5-9871-00C04F8EEB39}" = Macromedia Fireworks MX
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{98E9B724-0E62-4812-B6CC-C6A228BBC562}" = Brother P-touch Address Book 1.0
"{9B427732-573E-4E78-B6FA-AC3E5A218BA2}" = NMAS Client
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9DAEA76B-E50F-4272-A595-0124E826553D}" = LWS WLM Plugin
"{9E491AB7-4589-48CA-9CBB-874CB2788391}" = Studio 9
"{A05B0200-9A48-452D-A7CA-F4723B3350CF}" = XML Spy Suite 4.3
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite
"{A790BEB1-BCCF-4EC6-807B-5708B36E8A79}" = Intel(R) PROSet
"{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update
"{AC76BA86-0000-7EC8-7489-000000000603}" = Adobe Acrobat and Reader 6.0.3 Update
"{AC76BA86-0000-7EC8-7489-000000000604}" = Adobe Acrobat and Reader 6.0.4 Update
"{AC76BA86-0000-7EC8-7489-000000000605}" = Adobe Acrobat and Reader 6.0.5 Update
"{AC76BA86-1033-F400-7760-000000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AD3AED10-0F09-11D3-93D8-0008C7392DD7}" = GroupWise WebAccess6.0
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B0255743-165B-4BD5-8DA8-37DFB9930015}" = Norton Ghost
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B9A5A789-D491-49FB-958C-BFEC2C11BB1D}" = NMAS Challenge Response Method
"{B9C9DB4C-6D77-4AE9-AD1C-C708C23239A0}" = Nokia Connectivity Cable Driver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D40EB009-0499-459c-A8AF-C9C110766215}" = Logitech Webcam Software
"{D8E9CA51-F0C2-4FBC-95C6-BECC8C83F04D}" = VMware Movie Decoder
"{DF899B78-196A-4184-9A3C-4A0F54C84E6C}" = GroupWise
"{E05E8183-866A-11D3-97DF-0000F8D8F2E9}" = Symantec pcAnywhere
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E8C21197-24A5-4BA2-BBD1-009B640E8600}" = DameWare Mini Remote Control
"{E9D427B2-09ED-4178-A9BF-E5308005EA49}" = GwMailMerge
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{EED027B7-0DB6-404B-8F45-6DFEE34A0441}" = LWS Video Mask Maker
"{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS
"{F02DBC5D-33E3-45E9-B0F8-B7745229ED1C}" = NICI (Shared) U.S./Worldwide (128 bit) (2.6.8-2)
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F843C6A3-224D-4615-94F8-3C461BD9AEA0}" = Jasc Paint Shop Pro 9
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"{FF167195-9EE4-46C0-8CD7-FBA3457E88AB}" = LWS Facebook
"05B59228C7E1C21DFBE89260F879BD95880548D8" = Windows-Treiberpaket - Nokia Modem (10/05/2009 4.2)
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"7-Zip" = 7-Zip 4.42
"8CDCFB95BB84DD9C0F88F22266A0CA86035E55BA" = Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.4)
"a.sign Bürgerkartensoftware" = a.sign Bürgerkartensoftware 1.4.1.9
"a.sign Client" = a.sign Client 1.2.8.0
"a.sign PDF" = a.sign PDF 1.11.0.0
"Ad-Aware SE Professional" = Ad-Aware SE Professional
"Adobe Acrobat 7.0 Professional - EFG" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"AdRem Free Remote Console for NetWare" = AdRem Free Remote Console for NetWare
"Advanced CD Ripper Pro_is1" = Advanced CD Ripper Pro 2.40
"Advansys Formativ Studio" = Advansys Formativ Studio
"asignPDFverify" = asignPDFverify 1.0.5.0
"ASUS Probe V2.23.06" = ASUS Probe V2.23.06
"ATI Display Driver" = ATI Display Driver
"Audio Recorder Deluxe_is1" = Audio Recorder Deluxe
"Autodesk DWF Viewer" = Autodesk DWF Viewer
"AVM ISDN CAPI Port" = AVM ISDN CAPI Port
"C1RPTING" = Berichterstellungs-Snapin
"CamStudio" = CamStudio
"CloneCD" = CloneCD
"CONSOLE1" = ConsoleOne 1.3.6h
"DBXanalyzer" = DBXanalyzer
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup" = DivX-Setup
"DNSDHCPdDeinstKey" = DNSDHCP
"easy2000 Einnahmen-Ausgaben Buchhaltung_is1" = easy2000 Einnahmen-Ausgaben Buchhaltung 2012
"ELBA5 (C:_Programme_ELBA5)" = ELBA5 (C:\Programme\ELBA5)
"FlashGet(JetCar)" = FlashGet(JetCar)
"Free Videos To DVD_is1" = Free Videos To DVD V 4.0.0
"FRITZ! 2.0" = AVM FRITZ!
"FRITZ!X" = AVM FRITZ!X
"GetRight" = GetRight
"HappyFoto-Designer_is1" = HappyFoto-Designer
"Hollywood FX for Studio" = Pinnacle Hollywood FX for Studio
"IcoFX_is1" = IcoFX 1.6.4
"Icon to Image Converter" = Icon to Image Converter
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Image to Icon Converter" = Image to Icon Converter
"InCD!UninstallKey" = InCD
"InstallShield_{003447F5-0058-4B77-9C1E-50488F77C4A7}" = Brother P-touch Editor 4.2
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"InstallShield_{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PowerQuest PartitionMagic 8.0
"InstallShield_{7CCC6E23-0E35-480B-8F0C-8D06F882D5D3}" = Brother QL-Series User's Guide
"InstallShield_{98E9B724-0E62-4812-B6CC-C6A228BBC562}" = Brother P-touch Address Book 1.0
"IrfanView" = IrfanView (remove only)
"Jasc Paint Shop Pro 9.01 - (9.0.1.1)" = Jasc Paint Shop Pro 9.01 - (9.0.1.1)
"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 3.2 (Symantec Corporation)
"Magic ISO Maker v3.60 (build 0067)" = Magic ISO Maker v3.60 (build 0067)
"MailXplorer" = MailXplorer
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MRW!UninstallKey" = InCD Reader
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia PC Suite" = Nokia PC Suite
"Novell Client for Windows" = Novell Client für Windows 2000
"OutlookExpressDatensicherung" = OEBackup - Outlook Express Datensicherung (Vollversion)
"Power Scan" = Power Scan
"Print Message" = Formativ Print Message
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"RealPlayer 6.0" = RealPlayer
"SpeedFan" = SpeedFan (remove only)
"TeamViewer 7" = TeamViewer 7
"TopStyle Lite (Version 2)" = TopStyle Lite (Version 2)
"Totalcmd" = Total Commander (Remove or Repair)
"VLC media player" = VLC media player 2.0.4
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Wincmd" = Windows Commander (Remove or Repair)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinISO_is1" = WinISO 5.3
"WinRAR archiver" = WinRAR archiver
"WinZip" = WinZip
"WinZip Self-Extractor" = WinZip Self-Extractor
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"WMS" = Windows NT Messaging
"Wudf01007" = Microsoft User-Mode Driver Framework Feature Pack 1.7
"WZCLINE" = WinZip Command Line Support Add-On 1.1 SR-1
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{EF781A5C-58F5-4BFD-87F9-E4F14D382F25}" = Pinnacle Instant DVD Recorder
"FileZilla Client" = FileZilla Client 3.5.3
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 07.12.2012 09:46:00 | Computer Name = INT3000 | Source = MySQL | ID = 100
Description =
Error - 10.12.2012 06:18:19 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet.
Thread-ID:
4076 (0xfec) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100
/ 5400.1158 Object being scanned = \Device\HarddiskVolume1\WINDOWS\system32\termsrv.dll
by C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe 4(0)(0) 4(0)(0) 7200(0)(0)
7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0)
Error - 10.12.2012 06:19:00 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten
Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 5 Sekunden neu gestartet.
Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100
Description =
Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100
Description =
Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100
Description =
Error - 10.12.2012 08:35:33 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet.
Thread-ID:
2956 (0xb8c) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100
/ 5400.1158 Object being scanned = \Device\HarddiskVolume1\Programme\McAfee\VirusScan
Enterprise\AdsLokUU.Dll by C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0)
Error - 10.12.2012 08:35:34 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten
Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 10 Sekunden neu gestartet.
Error - 10.12.2012 18:41:26 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet.
Thread-ID:
2604 (0xa2c) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100
/ 5400.1158 Object being scanned = \Device\HarddiskVolume1\Programme\Adobe\Acrobat
7.0\Acrobat\acrobat.dll by C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0)
Error - 10.12.2012 18:41:26 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten
Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 5 Sekunden neu gestartet.
[ System Events ]
Error - 10.12.2012 06:15:26 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Bluetooth-Gerät (RFCOMM-Protokoll-TDI)" wurde aufgrund
folgenden Fehlers nicht gestartet: %%1058
Error - 10.12.2012 06:15:26 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASInsHelp" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 10.12.2012 06:19:00 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 10.12.2012 08:35:34 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
2 Mal passiert.
Error - 10.12.2012 10:43:12 | Computer Name = INT3000 | Source = Print | ID = 6161
Description = Das Dokument file://C:\Dokumente und Einstellungen\Markus\Lokale Einstellung,
im Besitz von Markus, konnte nicht auf dem Drucker Brother MFC-465CN (LAN) gedruckt
werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei in Bytes: 327680.
Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl
der gedruckten Seiten: 0. Clientcomputer: \\INT3000. Vom Druckprozessor zurückgelieferter
Win32-Fehlercode: 2250 (0x8ca).
Error - 10.12.2012 10:49:27 | Computer Name = INT3000 | Source = Print | ID = 6161
Description = Das Dokument file://C:\Dokumente und Einstellungen\Markus\Lokale Einstellung,
im Besitz von Markus, konnte nicht auf dem Drucker Brother MFC-465CN (LAN) gedruckt
werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei in Bytes: 327680.
Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl
der gedruckten Seiten: 0. Clientcomputer: \\INT3000. Vom Druckprozessor zurückgelieferter
Win32-Fehlercode: 2250 (0x8ca).
Error - 10.12.2012 18:26:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Bluetooth-Gerät (RFCOMM-Protokoll-TDI)" wurde aufgrund
folgenden Fehlers nicht gestartet: %%1058
Error - 10.12.2012 18:26:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASInsHelp" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 10.12.2012 18:27:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde ultra
Error - 10.12.2012 18:41:27 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
< End of report >
Als Anhang noch die o.a. Scrrenshots der kryptischen Daten am USB-Stick; die werden jetzt übrigens auch auf jedem Rechner so dargestellt...
Ich hoffe, dass ich nichts aus der Checkliste übersehen habe, das für Euch Helfer hilfreich wäre und bedanke mich schon jetzt im Voraus für die hier gebotene Möglichkeit und Unterstützung!
Windows XP Professional Edition
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{482A7A30-ACD5-4A61-A821-56A6CDC4C455}: NameServer = 195.3.96.67,62.146.4.100
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?
ja, es handelt sich genau genommen um einen Büro-/Firmenrechner - bin Freelancer. Ist das ein Problem?
Ich hatte diese Frage bereits bei einem Posting gesehen, aber nichts gelesen, dass das nicht "erlaubt" oder "ungern gesehen" wäre...
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.
Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
__________________ Logfiles bitte immer in CODE-Tags posten
Nun leider habe ich keine eigene IT-Abteilung, auch wenn ich's gerne hätte.
Heißt das im Klartext nun "Nein"? Wäre schade, aber müßte ich wohl akzeptieren.
Selbstverständlich habe ich den Text gelesen!
Du sprichst konkret von den Gefahren betreffend Kundendaten oder von der Mitteilung im ersten Posting?
a) Es sind keine Kundendaten auf dem Rechner gespeichert; ich verwalte Zugangsdaten altmodisch handschriftlich. Alle anderen Daten sind auf Platten/Partitionen <> C: und würden ja auch nach einem Neuaufsetzen wieder an selbiger Stelle vorhanden sein.
b) Dieser Passus war mir unbekannt, obwohl mir die idente Frage in einem Posting betreffend WinXP Pro bereits aufgefallen ist.
Also soll ich Deiner Meinung nach die SYS-Platte neu machen und aus einem Backup wiederherstellen?
Wieviele Tage vorher?
Könnte der Virus/Trojaner evtl. auch "geschlummert haben"?
Nicht, dass ich alles neu mache und dann war das Ding bereits in einem Backup vorhanden....
Also soll ich Deiner Meinung nach die SYS-Platte neu machen und aus einem Backup wiederherstellen?
Das hab ich nirgends geschrieben
Es geht immer noch um die Kundendaten die ja angeblich nicht auf C liegen und daraf entgegnete ich, dass Tools wie zB OTL auch Dateien auflisten können die NICHT auf C sind
__________________ Logfiles bitte immer in CODE-Tags posten
Themen zu Polizei-Trojaner Österreich, Trojan.Ransom
Zum Thema Polizei-Trojaner Österreich, Trojan.Ransom - Mich hat es nun leider auch erwischt, wenngleich ich bis dato der Meinung war, dass ich vorgesorgt hätte, aber dem war/ist wohl nicht so...
Während des Surfens im Internet kam - Polizei-Trojaner Österreich, Trojan.Ransom...
Linear-Darstellung
