| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Vermutlich Deutsche Post TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.12.2012, 23:46
| #1 |
 |  Vermutlich Deutsche Post Trojaner Hallo, ich habe ein Problem mit dem PC meines Dads. Er hat erzählt dass er auf diese "Deutsche Post" Geschichte reingefallen ist, und er irgendwas in einer e-Mail angeklickt hat. Das hat erstmal den "Windows XP Defender" installiert. Ich habe schon diverse Dinge ausprobiert und dachte es wäre schon überstanden - aber nicht wirklich. Erst konnte man keine EXE Dateien mehr ausführen - das konnte ich wieder fixen, habe RKILL ausgeführt und hatte auch schon den Malwarebytes Anti Malware installiert. Dieser hatte diverse Probleme gefunden und in Quarantaine geschoben, die ich auch schon gelöscht habe. Der XP Defender ist wohl gelöscht. Das Problem das aktuell besteht, ist dass der Avira nichts erkennt, aber in diversen abständen gefühlte 100 Internet Explorer aufpoppen mit irgendwelchen Adressen. Wenn der Malwarebyte Anti Malware läuft geht es und es wird immer wieder mal angezeigt dass versucht wurde auf 82.146.57.123 zu zugreifen. Ich bin immer davon ausgegangen, das wenn der Rechner mal befallen wurde es eigentlich keine Hilfe gibt, da die Dinger sich so tief ins System eingraben dass man keine Chance hat. Dann bin ich auf dieses Board gestoßen und bin gespannt ob ich um eine Neuinstallation herumkomme. Ach ja - anzumerken wäre noch dass ich nicht vor Ort bin. Das heißt ich muss immer mit Teamviewer auf die Kiste zugreifen, was ide Sache wohl etwas erschwert... Hier nun die Ausgaben: OTL.txt Code:
ATTFilter OTL logfile created on: 26.12.2012 23:27:15 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 895,23 Mb Total Physical Memory | 576,75 Mb Available Physical Memory | 64,42% Memory free 2,12 Gb Paging File | 1,89 Gb Available in Paging File | 89,28% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 41,75 Gb Free Space | 56,02% Space Free | Partition Type: NTFS Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.12.26 16:28:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\OTL.exe PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () -- C:\Programme\Synology Data Replicator 3\SynoDrService.exe PRC - [2012.08.31 15:02:03 | 007,553,448 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer.exe PRC - [2012.08.31 15:02:03 | 002,754,984 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe PRC - [2012.08.31 15:02:03 | 002,282,920 | ---- | M] (TeamViewer GmbH) -- c:\Programme\TeamViewer\Version7\TeamViewer_Desktop.exe PRC - [2012.08.31 14:55:18 | 000,106,408 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\tv_w32.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.03.02 14:05:56 | 000,081,920 | ---- | M] (FirebirdSQL Project) -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe PRC - [2007.03.02 14:05:50 | 001,994,752 | ---- | M] (FirebirdSQL Project) -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe ========== Modules (No Company Name) ========== MOD - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () -- C:\Programme\Synology Data Replicator 3\SynoDrService.exe MOD - [2008.04.14 07:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2006.08.16 08:35:00 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - File not found [Auto | Stopped] -- C:\Programme\DynDNS Updater\DynUpSvc.exe -- (Dyn Updater) SRV - [2012.12.10 18:25:23 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () [Auto | Running] -- C:\Programme\Synology Data Replicator 3\SynoDrService.exe -- (SynoDrService) SRV - [2012.08.31 15:02:03 | 002,754,984 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7) SRV - [2007.05.07 18:28:58 | 000,589,824 | ---- | M] (TightVNC Group) [On_Demand | Stopped] -- C:\Programme\TightVNC\WinVNC.exe -- (winvnc) SRV - [2007.03.02 14:05:56 | 000,081,920 | ---- | M] (FirebirdSQL Project) [Auto | Running] -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance) SRV - [2007.03.02 14:05:50 | 001,994,752 | ---- | M] (FirebirdSQL Project) [On_Demand | Running] -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe -- (FirebirdServerDefaultInstance) SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\Andreas\LOKALE~1\Temp\aswMBR.sys -- (aswMBR) DRV - [2012.09.29 19:54:26 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2006.07.11 14:38:30 | 000,020,480 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2006.07.11 14:38:28 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2006.06.28 10:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata) DRV - [2006.06.18 22:38:18 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2006.06.08 09:49:50 | 000,344,064 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73) DRV - [2006.06.06 05:09:26 | 004,284,928 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) DRV - [2004.08.03 15:55:28 | 000,237,568 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZD1211U.sys -- (ZD1211U(ZyXEL) DRV - [2002.09.09 18:54:06 | 000,016,269 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ASNDIS5.sys -- (ASNDIS5) DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase) DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://google.de/" FF - prefs.js..extensions.enabledAddons: jqs%40sun.com:1.0 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.10 18:25:25 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.10 18:25:13 | 000,000,000 | ---D | M] [2009.04.19 20:31:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions [2012.10.24 07:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions [2012.10.14 03:55:54 | 000,000,000 | ---D | M] (German Dictionary, extended for Austria) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions\de-AT@dictionaries.addons.mozilla.org [2012.12.10 18:25:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.10.29 18:04:57 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.12.10 18:25:24 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.06.19 11:45:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.08 19:33:52 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.06.19 11:45:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.06.19 11:45:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.19 11:45:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.19 11:45:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2001.08.23 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe (SFirm Hannover) O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe (TightVNC Group) O4 - HKU\S-1-5-21-789336058-1563985344-839522115-1003..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1 File not found O4 - HKU\S-1-5-21-789336058-1563985344-839522115-1003..\Run: [Vufomye] "C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Onno\ulob.exe" File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk = File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin) O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O12 - Plugin for: .spop - C:\Programme\Internet Explorer\PLUGINS\NPDocBox.dll (Intertrust Technologies, Inc.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1356101537906 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1563EE9D-A932-4D23-B725-48BF7F7ADE5E}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.05.25 09:58:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.12.25 11:31:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.12.25 11:31:49 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.12.25 11:31:49 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.12.25 10:18:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore [2012.12.25 09:55:21 | 000,000,000 | ---D | C] -- C:\efbf2bb7be216e32abb1c374e7dd5fab [2012.12.25 09:38:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx [2012.12.25 09:28:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage [2012.12.25 06:45:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt [2012.12.24 15:33:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2012.12.24 12:15:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla [2012.12.24 12:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla [2012.12.24 07:20:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2012.12.24 02:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de [2012.12.24 02:36:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas [2012.12.24 02:36:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de [2012.12.24 02:36:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits [2012.12.24 02:22:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic [2012.12.24 02:15:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$ [2012.12.24 00:19:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dyn Updater [2012.12.24 00:19:09 | 000,000,000 | ---D | C] -- C:\Programme\DynDNS Updater [2012.12.24 00:18:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn [2012.12.23 20:58:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes [2012.12.23 20:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.12.23 20:49:41 | 010,669,896 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\herbert.exe [2012.12.23 20:49:41 | 001,754,528 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\abc.exe [2012.12.23 20:49:00 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2012.12.22 15:56:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XP Defender [2012.12.22 15:46:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities [2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu [2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina [2012.12.22 10:45:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles [2012.12.22 10:41:40 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox [2012.12.21 15:51:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Andreas\UserData [2012.12.12 17:51:33 | 371,250,488 | ---- | C] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe [2012.12.10 18:25:11 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.12.26 23:24:32 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable [2012.12.26 09:00:00 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\SyncBack Eigene Dateien.job [2012.12.25 20:27:28 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2012.12.25 15:34:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.12.25 09:32:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.12.25 09:19:16 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.12.25 09:19:16 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.12.25 09:19:16 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.12.25 09:19:16 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.12.24 07:27:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx [2012.12.24 07:20:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.12.24 02:22:02 | 000,251,712 | RHS- | M] () -- C:\ntldr [2012.12.24 00:19:17 | 000,000,525 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk [2012.12.23 20:56:27 | 000,000,335 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg [2012.12.22 16:09:17 | 000,046,075 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl [2012.12.22 16:02:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs [2012.12.22 10:42:12 | 000,001,087 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk [2012.12.16 18:39:10 | 000,004,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot 2013.htm [2012.12.16 18:30:51 | 000,103,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm [2012.12.14 16:04:18 | 000,000,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Fahrerbescheinigung.lnk [2012.12.12 17:51:32 | 371,250,488 | ---- | M] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe [2012.12.04 08:16:54 | 000,013,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.12.26 23:24:32 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable [2012.12.24 07:27:10 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Outlook Express.lnk [2012.12.24 07:27:08 | 000,000,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Internet Explorer.lnk [2012.12.24 02:37:25 | 000,010,457 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.hta [2012.12.24 02:37:25 | 000,001,771 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.css [2012.12.24 02:37:25 | 000,001,730 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpocm.inf [2012.12.24 02:37:25 | 000,000,420 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmploc.js [2012.12.24 02:37:24 | 000,660,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.chm [2012.12.24 02:37:24 | 000,076,456 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.adm [2012.12.24 02:37:24 | 000,026,141 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplay.chm [2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud7.wav [2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud6.wav [2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud9.wav [2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud8.wav [2012.12.24 02:37:23 | 000,086,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud5.wav [2012.12.24 02:37:22 | 000,354,468 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud1.wav [2012.12.24 02:37:22 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud3.wav [2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud4.wav [2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud2.wav [2012.12.24 02:37:22 | 000,058,216 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmp.inf [2012.12.24 02:37:21 | 000,013,540 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmfsdk.inf [2012.12.24 02:37:20 | 000,034,554 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmdm.inf [2012.12.24 02:37:20 | 000,008,677 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm7.gif [2012.12.24 02:37:20 | 000,007,892 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm9.gif [2012.12.24 02:37:20 | 000,004,193 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm8.gif [2012.12.24 02:37:19 | 000,300,969 | ---- | C] () -- C:\WINDOWS\System32\dllcache\viz.wmv [2012.12.24 02:37:19 | 000,017,489 | ---- | C] () -- C:\WINDOWS\System32\dllcache\videobg.gif [2012.12.24 02:37:19 | 000,007,636 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm2.gif [2012.12.24 02:37:19 | 000,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm4.gif [2012.12.24 02:37:19 | 000,006,241 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm3.gif [2012.12.24 02:37:19 | 000,006,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm6.gif [2012.12.24 02:37:19 | 000,005,789 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm1.gif [2012.12.24 02:37:19 | 000,005,290 | ---- | C] () -- C:\WINDOWS\System32\dllcache\vidsamp.gif [2012.12.24 02:37:19 | 000,002,477 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm5.gif [2012.12.24 02:37:18 | 000,023,829 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tourbg.gif [2012.12.24 02:37:18 | 000,003,187 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tour.js [2012.12.24 02:37:18 | 000,002,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplay.gif [2012.12.24 02:37:18 | 000,002,450 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpause.gif [2012.12.24 02:37:18 | 000,002,375 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplayh.gif [2012.12.24 02:37:18 | 000,002,371 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpauseh.gif [2012.12.24 02:37:18 | 000,001,398 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taon.gif [2012.12.24 02:37:18 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taonh.gif [2012.12.24 02:37:17 | 000,572,557 | ---- | C] () -- C:\WINDOWS\System32\dllcache\rtuner.wmv [2012.12.24 02:37:17 | 000,001,810 | ---- | C] () -- C:\WINDOWS\System32\dllcache\skins.inf [2012.12.24 02:37:17 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoff.gif [2012.12.24 02:37:17 | 000,001,367 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoffh.gif [2012.12.24 02:37:17 | 000,001,148 | ---- | C] () -- C:\WINDOWS\System32\dllcache\snd.htm [2012.12.24 02:37:16 | 000,084,531 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plyr_err.chm [2012.12.24 02:37:16 | 000,066,132 | ---- | C] () -- C:\WINDOWS\System32\dllcache\revert.wmz [2012.12.24 02:37:16 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst5.wpl [2012.12.24 02:37:16 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst6.wpl [2012.12.24 02:37:16 | 000,001,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst3.wpl [2012.12.24 02:37:16 | 000,001,467 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst4.wpl [2012.12.24 02:37:16 | 000,001,047 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst7.wpl [2012.12.24 02:37:16 | 000,001,038 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst8.wpl [2012.12.24 02:37:16 | 000,000,782 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst9.wpl [2012.12.24 02:37:15 | 000,375,519 | ---- | C] () -- C:\WINDOWS\System32\dllcache\nuskin.wmv [2012.12.24 02:37:15 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst12.wpl [2012.12.24 02:37:15 | 000,001,261 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst1.wpl [2012.12.24 02:37:15 | 000,001,055 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst2.wpl [2012.12.24 02:37:15 | 000,000,807 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst11.wpl [2012.12.24 02:37:15 | 000,000,800 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst10.wpl [2012.12.24 02:37:15 | 000,000,779 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylsta13.wpl [2012.12.24 02:37:15 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst14.wpl [2012.12.24 02:37:15 | 000,000,725 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst15.wpl [2012.12.24 02:37:14 | 000,022,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npds.zip [2012.12.24 02:37:14 | 000,000,403 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npdrmv2.zip [2012.12.24 02:37:12 | 000,036,610 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplayer2.inf [2012.12.24 02:37:12 | 000,002,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogoh.gif [2012.12.24 02:37:12 | 000,002,545 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogo.gif [2012.12.24 02:37:10 | 000,457,607 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mdlib.wmv [2012.12.24 02:37:10 | 000,005,971 | ---- | C] () -- C:\WINDOWS\System32\dllcache\events.js [2012.12.24 02:37:09 | 000,381,425 | ---- | C] () -- C:\WINDOWS\System32\dllcache\copycd.wmv [2012.12.24 02:37:09 | 000,009,585 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.css [2012.12.24 02:37:09 | 000,006,878 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.js [2012.12.24 02:37:08 | 000,184,109 | ---- | C] () -- C:\WINDOWS\System32\dllcache\compact.wmz [2012.12.24 02:37:08 | 000,008,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\contents.htm [2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnth.gif [2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnt.gif [2012.12.24 02:37:08 | 000,000,772 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cntd.gif [2012.12.24 02:37:08 | 000,000,760 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapph.gif [2012.12.24 02:37:08 | 000,000,717 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapp.gif [2012.12.24 02:37:07 | 000,000,999 | ---- | C] () -- C:\WINDOWS\System32\dllcache\bktrh.gif [2012.12.24 02:22:45 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod [2012.12.24 02:22:43 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty [2012.12.24 02:22:39 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img [2012.12.24 00:19:17 | 000,000,525 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk [2012.12.23 20:56:26 | 000,000,335 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg [2012.12.22 16:09:17 | 000,046,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl [2012.12.22 16:02:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs [2012.12.16 18:39:10 | 000,004,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot 2013.htm [2012.12.16 18:30:51 | 000,103,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm [2012.12.04 08:16:54 | 000,013,371 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm [2011.10.17 09:34:08 | 000,000,103 | ---- | C] () -- C:\WINDOWS\Setup_tmp.ini [2011.05.31 14:26:15 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\THBIni20.dll [2011.05.31 14:26:10 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\MC4MInt.dll ========== ZeroAccess Check ========== [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] "ThreadingModel" = Both "" = shell32.dll -- [2008.06.17 20:00:59 | 008,502,272 | ---- | M] (Microsoft Corporation) [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:06:44 | 001,509,888 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.12.24 00:18:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn [2011.07.13 21:19:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DynDNS [2007.05.25 15:16:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch [2011.10.17 09:34:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm LOGS [2010.05.06 09:06:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Empfang\Anwendungsdaten\FRITZ! [2012.12.25 20:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox [2012.12.22 15:46:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina [2011.05.31 22:55:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FRITZ! [2011.01.28 11:04:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\InterTrust [2009.10.29 18:08:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\OpenOffice.org [2012.12.26 09:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu [2012.09.22 21:18:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\TeamViewer ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Andreas\Desktop\Liste Deutschland Zimmerbelegung d 34 Personen f d Fahrt nach Gertianosch vom 02.09.2010.docx:SummaryInformation < End of report > Extra.txt Code:
ATTFilter OTL Extras logfile created on: 26.12.2012 16:31:18 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
895,23 Mb Total Physical Memory | 164,55 Mb Available Physical Memory | 18,38% Memory free
2,12 Gb Paging File | 1,53 Gb Available in Paging File | 72,34% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 41,88 Gb Free Space | 56,20% Space Free | Partition Type: NTFS
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
a
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\ART\Office\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00180407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 Runtime
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{8E310838-457C-4269-B177-3EFB300CBDDC}" = Synology Data Replicator 3
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{AE617000-0F7E-42BC-B992-720285B89707}" = DiaScan ® digi+
"{DE2DA32A-F8C7-4E8E-B41D-E5031185CE3F}" = IPView Pro
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Areca" = Areca
"AU Plus 1.0" = AU Plus 1.0
"AU Plus mit Importmodul" = AU Plus mit Importmodul
"DynUpdater" = Dyn Updater
"FBDBServer_2_0_is1" = Firebird 2.0.1
"FRITZ! 2.0" = AVM FRITZ!
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"schaden Plus" = schaden Plus
"schaden Plus_is1" = schaden Plus (novaPDF Server OEM 6.2 printer)
"SyncBack_is1" = SyncBack
"TeamViewer 7" = TeamViewer 7
"TightVNC_is1" = TightVNC 1.3.9
"TravelManager" = TravelManager
"UBCD4Win_is1" = UBCD4Win 3.60
"Windows XP Service Pack" = Windows XP Service Pack 3
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 23.12.2012 13:49:39 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:49:40 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00aa9858.
Error - 23.12.2012 13:50:49 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:50:52 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:51:03 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:51:22 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 14:06:56 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 25.12.2012 04:23:14 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wgasetup.exe, Version 1.9.40.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 25.12.2012 08:51:05 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 26.12.2012 11:30:44 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.69.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 25.12.2012 04:39:13 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 25.12.2012 04:39:13 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 25.12.2012 05:19:54 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 25.12.2012 05:21:23 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 25.12.2012 05:21:23 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 25.12.2012 10:34:13 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
< End of report >
Habe ich Chancen? Viele Grüße, Cronet |
|
27.12.2012, 12:51
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Vermutlich Deutsche Post Trojaner Hallo und
__________________ Code:
ATTFilter Windows XP Professional Edition Service Pack 3
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner? Zitat:
 Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520 Bitte alles nach Möglichkeit hier in CODE-Tags posten.
__________________ |
|
27.12.2012, 13:40
| #3 |
| | Vermutlich Deutsche Post Trojaner Hallo,
__________________ja, mein Dad ist Selbständig und der Rechner steht in seinem Büro. Der Rechner wurde gebraucht gekauft und da war das Betriebssystem dabei. Ist das ein Problem, dass es kein Privat-PC ist? 1. Log vom mbam: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.23.07 Windows XP Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 6.0.2900.2180 Andreas :: COMPUTER1 [Administrator] Schutz: Deaktiviert 23.12.2012 21:01:57 mbam-log-2012-12-23 (21-01-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 363275 Laufzeit: 35 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pcdfdata (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xpcoipml (Backdoor.Bot.EMWD) -> Daten: "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\kajhlxks.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\DIASCAN50\VIP.EXE (PUP.Radmin) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Windows\CurrentVersion\Run|pcdfsvc (Rogue.PCDefenderPlus) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\crcxxste.exe /min -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 1 HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 8 C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\kajhlxks.exe (Backdoor.Bot.EMWD) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\DiaScan50\ViP.exe (PUP.Radmin) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\defs.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\app.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\config.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\support.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\uninst.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\vl.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.25.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Andreas :: COMPUTER1 [Administrator] Schutz: Deaktiviert 25.12.2012 13:51:45 mbam-log-2012-12-25 (13-51-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 407593 Laufzeit: 1 Stunde(n), 21 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 4 HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 6 C:\Avenger\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Avenger\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Löschen bei Neustart. C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.25.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Andreas :: COMPUTER1 [Administrator] Schutz: Aktiviert 26.12.2012 00:32:51 mbam-log-2012-12-26 (00-32-51).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 410567 Laufzeit: 1 Stunde(n), 27 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Und noch ein Auszug aus dem protection-log : Code:
ATTFilter 2012/12/26 00:00:01 +0100 COMPUTER1 Andreas IP-BLOCK 82.146.57.123 (Type: outgoing)
...hunderte davon!.....
2012/12/26 23:21:55 +0100 COMPUTER1 Andreas IP-BLOCK 82.146.57.123 (Type: outgoing)
2012/12/26 23:21:58 +0100 COMPUTER1 Andreas IP-BLOCK 82.146.57.123 (Type: outgoing)
2012/12/26 23:22:04 +0100 COMPUTER1 Andreas IP-BLOCK 82.146.57.123 (Type: outgoing)
2012/12/26 23:26:43 +0100 COMPUTER1 Andreas MESSAGE Stopping protection
2012/12/26 23:26:43 +0100 COMPUTER1 Andreas MESSAGE Protection stopped successfully
2012/12/26 23:26:43 +0100 COMPUTER1 Andreas MESSAGE Stopping IP protection
2012/12/26 23:26:44 +0100 COMPUTER1 Andreas MESSAGE IP Protection stopped successfully
2012/12/26 23:26:49 +0100 COMPUTER1 Andreas MESSAGE Protection stopped
Ein Scan mit aswMBR hat keine Infizierungen gezeigt. Also wenn es ein Problem ist, dass es ein Büro Rechner ist, dann bitte das Thema schließen - ansonsten freue ich mich natürlich über Hilfe! |
|
27.12.2012, 14:00
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post TrojanerZitat:
Siehe => http://www.trojaner-board.de/108422-...-anfragen.html Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.12.2012, 14:06
| #5 |
| | Vermutlich Deutsche Post Trojaner Danke für die Info - das wir mir nicht klar. Eine IT Abteilung gibt es (leider) nicht, denn dann müsste ich mich auch nicht damit beschäftigen. Über die Logfiles bin ich mir im Klaren. Ich werde die Logs vorher durchsehen und evtl. Kundendaten o.ä. verschleiern. Wenn Du mir helfen würdest wäre das super! |
|
27.12.2012, 14:10
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post Trojaner Ok, wenn du dir darüber im Klaren bist dann ist das auch überhaupt kein Problem. Ich weise da nur recht penetrant drauf hin, weil ich hier mit Oberschlaumeiern schonmal konfrontiert wurde, die hatten tw. schon mit dem Anwalt gedroht von wegen das TB wird verklagt wenn die selbst veröffentliche eigene E-Mail-Adresse usw. nicht entfernt wird  Und diesen völlige unnötige Aufregerei will ich eben im Vorfeld ausschließen.  verständlich oder?  Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Malwarebytes Anti-Rootkit  Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ --> Vermutlich Deutsche Post Trojaner |
|
27.12.2012, 22:52
| #7 |
| | Vermutlich Deutsche Post Trojaner Das ist total verständlich! Danke dass du mir hilfst! Habe das Anti Rootkit nun 3 mal laufen lassen, beim dritten mal kamen keine Meldungen mehr: 1. Log: Code:
ATTFilter Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org
Database version: v2012.12.27.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]
27.12.2012 21:59:29
mbar-log-2012-12-27 (21-59-29).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25563
Time elapsed: 17 minute(s), 14 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 2
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 (Trojan.0Access) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.
Registry Values Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: -> Delete on reboot.
Registry Data Items Detected: 3
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (shell32.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.
Folders Detected: 6
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089 (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089 (Trojan.Siredef.C) -> Delete on reboot.
Files Detected: 7
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\80000000.@ (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Trojan.0Access) -> Delete on reboot.
(end)
2. Log: Code:
ATTFilter Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org
Database version: v2012.12.27.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]
27.12.2012 22:19:27
mbar-log-2012-12-27 (22-19-27).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25527
Time elapsed: 15 minute(s), 29 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
Code:
ATTFilter Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org
Database version: v2012.12.27.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]
27.12.2012 22:40:06
mbar-log-2012-12-27 (22-40-06).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25518
Time elapsed: 15 minute(s), 8 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
Und nun ? |
|
28.12.2012, 12:13
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post Trojaner Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2012, 12:57
| #9 |
| | Vermutlich Deutsche Post Trojaner Nachdem er die Wiederherstellungskonsole installiert hat ging erstmal nichts mehr weiter. Ich habe dann ComboFix.exe einfach nochmal gestartet, dann hat er gleich mit dem Sacnvorgang begonnen. Code:
ATTFilter ComboFix 12-12-28.01 - Andreas 28.12.2012 12:34:30.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.895.554 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\Downloads\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Andreas\WINDOWS
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-28 bis 2012-12-28 ))))))))))))))))))))))))))))))
.
.
2012-12-27 21:24 . 2012-12-27 21:24 35144 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2012-12-27 01:34 . 2012-12-27 01:34 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData
2012-12-25 10:31 . 2012-12-25 10:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-12-25 10:31 . 2012-09-29 18:54 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-12-25 09:18 . 2012-12-25 09:18 -------- d-----w- c:\windows\system32\MpEngineStore
2012-12-25 08:55 . 2012-12-25 08:55 -------- d-----w- C:\efbf2bb7be216e32abb1c374e7dd5fab
2012-12-25 08:38 . 2012-12-25 08:38 -------- d-----w- c:\dokumente und einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx
2012-12-25 08:07 . 2012-12-25 08:13 -------- d-----w- c:\dokumente und einstellungen\Administrator
2012-12-24 14:33 . 2012-12-24 14:33 -------- d-----w- c:\windows\system32\NtmsData
2012-12-24 11:15 . 2012-12-24 11:15 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-12-24 11:15 . 2012-12-24 11:15 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-12-24 11:09 . 2012-12-24 11:09 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2012-12-24 01:37 . 2009-07-31 09:02 1372672 -c----w- c:\windows\system32\dllcache\msxml6.dll
2012-12-24 01:37 . 2009-07-31 09:02 1372672 ------w- c:\windows\system32\msxml6.dll
2012-12-24 01:37 . 2008-04-14 06:27 93184 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2012-12-24 01:37 . 2008-04-14 06:27 93184 ------w- c:\windows\system32\msxml6r.dll
2012-12-24 01:27 . 2008-04-14 06:52 294912 ------w- c:\programme\Windows Media Player\dlimport.exe
2012-12-24 01:26 . 2008-04-14 06:52 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2012-12-24 01:21 . 2006-12-28 23:31 19569 ----a-w- c:\windows\002909_.tmp
2012-12-23 23:19 . 2012-12-23 23:19 -------- d-----w- c:\programme\DynDNS Updater
2012-12-23 23:18 . 2012-12-23 23:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Dyn
2012-12-23 19:58 . 2012-12-23 19:58 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2012-12-23 19:58 . 2012-12-23 19:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-22 14:46 . 2012-12-22 14:46 -------- d-----w- c:\dokumente und einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities
2012-12-22 14:46 . 2012-12-27 20:16 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Ovlu
2012-12-22 14:46 . 2012-12-22 14:46 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Ekgina
2012-12-22 09:45 . 2012-12-24 01:27 -------- d-----w- c:\windows\ServicePackFiles
2012-12-22 09:41 . 2012-12-22 09:41 -------- d-----w- c:\programme\Dropbox
2012-12-21 15:27 . 2008-06-14 17:32 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2012-12-21 15:27 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\drivers\bthport.sys
2012-12-21 15:26 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2012-12-21 15:25 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2012-12-21 15:25 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2012-12-21 15:24 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2012-12-21 15:24 . 2009-10-15 16:28 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2012-12-21 15:24 . 2009-10-15 16:28 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2012-12-21 15:24 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2012-12-21 15:24 . 2010-02-17 13:04 2192256 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2012-12-21 15:24 . 2009-03-06 14:19 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2012-12-21 15:23 . 2009-06-25 08:25 737792 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2012-12-21 15:23 . 2009-02-09 11:21 111104 -c----w- c:\windows\system32\dllcache\services.exe
2012-12-21 15:23 . 2009-02-09 10:51 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2012-12-21 15:23 . 2009-02-09 10:51 678400 -c----w- c:\windows\system32\dllcache\advapi32.dll
2012-12-21 15:23 . 2009-02-09 10:51 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2012-12-21 15:23 . 2009-02-09 10:51 740352 -c----w- c:\windows\system32\dllcache\ntdll.dll
2012-12-21 15:23 . 2009-02-09 10:51 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2012-12-21 15:23 . 2010-02-16 19:04 2148864 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2012-12-21 15:23 . 2010-02-16 19:04 2027008 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2012-12-21 15:17 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2012-12-21 15:16 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2012-12-21 15:13 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2012-12-21 15:12 . 2008-04-21 21:13 217600 -c----w- c:\windows\system32\dllcache\wordpad.exe
2012-12-21 14:52 . 2012-12-21 14:52 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-21 14:51 . 2012-12-21 14:52 -------- d-s---w- c:\dokumente und einstellungen\Andreas\UserData
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-21 14:52 . 2011-09-02 13:03 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-10 17:25 . 2012-12-10 17:25 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"nwiz"="nwiz.exe" [2006-08-16 1617920]
"NvMediaCenter"="NvMCTray.dll" [2006-08-16 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384]
"SfWinStartInfo"="c:\sfirm32\sfWinStartupInfo.exe" [2010-12-20 128392]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Z1"="c:\dokumente und einstellungen\Andreas\Desktop\mbar\mbar.exe" [2012-12-27 1342312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Andreas\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-12-22 28538560]
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Dyn Updater Tray Icon.lnk - c:\programme\DynDNS Updater\DynTray.exe [N/A]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2007-5-25 241664]
.
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [25.12.2012 11:31 399432]
R2 SynoDrService;SynoDrService;c:\programme\Synology Data Replicator 3\SynoDrService.exe [07.09.2012 11:59 248704]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [22.09.2012 21:18 2754984]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.05.2007 10:49 37568]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.05.2007 10:49 444416]
R3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [27.12.2012 22:24 35144]
S2 Dyn Updater;Dyn Updater;c:\programme\DynDNS Updater\DynUpSvc.exe --> c:\programme\DynDNS Updater\DynUpSvc.exe [?]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [25.12.2012 11:31 676936]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [25.12.2012 11:31 22856]
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\drivers\ZD1211U.sys [25.05.2007 10:34 237568]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMCHAMELEON
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-28 c:\windows\Tasks\SyncBack Eigene Dateien.job
- c:\programme\SyncBack\SyncBack.exe [2007-05-25 13:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Vufomye - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Onno\ulob.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-28 12:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-28 12:47:55
ComboFix-quarantined-files.txt 2012-12-28 11:47
.
Vor Suchlauf: 15 Verzeichnis(se), 44.496.502.784 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 48.519.139.328 Bytes frei
.
- - End Of File - - E417C8FD743C7FFC3C6C5DC2EBF31BB4
|
|
28.12.2012, 13:43
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post Trojaner adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop. Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2012, 13:51
| #11 |
| | Vermutlich Deutsche Post Trojaner Wenn es dir nicht zu viel Aufwand ist, wäre es super wenn du mir immer kurz sagst, was dir die geposteten LogFiles sagen. Also welche Zeile jetzt für dich ausschlaggebend ist, um ein bestimmtes Tool vorzuschlagen. Das würde mich nämlich interessieren! Code:
ATTFilter # AdwCleaner v2.103 - Datei am 28/12/2012 um 13:49:21 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Andreas - COMPUTER1
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DE2DA32A-F8C7-4E8E-B41DE5031185CE3F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3B18191663CDFABAA2A93D4267E54D683153FF60
***** [Internet Browser] *****
-\\ Internet Explorer v6.0.2900.5512
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[R1].txt - [833 octets] - [28/12/2012 13:49:21]
########## EOF - C:\AdwCleaner[R1].txt - [892 octets] ##########
|
|
28.12.2012, 14:07
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post Trojaner adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
Danach eine Kontrolle mit OTL bitte:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2012, 14:49
| #13 |
| | Vermutlich Deutsche Post Trojaner adwCleaner Code:
ATTFilter # AdwCleaner v2.103 - Datei am 28/12/2012 um 14:26:02 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Andreas - COMPUTER1
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DE2DA32A-F8C7-4E8E-B41DE5031185CE3F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3B18191663CDFABAA2A93D4267E54D683153FF60
***** [Internet Browser] *****
-\\ Internet Explorer v6.0.2900.5512
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[R1].txt - [960 octets] - [28/12/2012 13:49:21]
AdwCleaner[R2].txt - [892 octets] - [28/12/2012 14:26:02]
########## EOF - C:\AdwCleaner[R2].txt - [951 octets] ##########
Code:
ATTFilter OTL logfile created on: 28.12.2012 14:27:36 - Run 3 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 895,23 Mb Total Physical Memory | 509,00 Mb Available Physical Memory | 56,86% Memory free 2,12 Gb Paging File | 1,90 Gb Available in Paging File | 89,59% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 45,21 Gb Free Space | 60,67% Space Free | Partition Type: NTFS Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) PRC - C:\Programme\Synology Data Replicator 3\SynoDrService.exe () PRC - c:\Programme\TeamViewer\Version7\TeamViewer.exe (TeamViewer GmbH) PRC - C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH) PRC - c:\Programme\TeamViewer\Version7\TeamViewer_Desktop.exe (TeamViewer GmbH) PRC - C:\Programme\TeamViewer\Version7\tv_w32.exe (TeamViewer GmbH) PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project) PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project) ========== Modules (No Company Name) ========== MOD - C:\Programme\Synology Data Replicator 3\SynoDrService.exe () MOD - C:\WINDOWS\system32\msdmo.dll () MOD - C:\WINDOWS\system32\nvapi.dll () ========== Services (SafeList) ========== SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found SRV - (Dyn Updater) -- C:\Programme\DynDNS Updater\DynUpSvc.exe File not found SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) SRV - (SynoDrService) -- C:\Programme\Synology Data Replicator 3\SynoDrService.exe () SRV - (TeamViewer7) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH) SRV - (winvnc) -- C:\Programme\TightVNC\WinVNC.exe (TightVNC Group) SRV - (FirebirdGuardianDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project) SRV - (FirebirdServerDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (ZDPNDIS5) -- C:\WINDOWS\system32\ZDPNDIS5.SYS File not found DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (mbr) -- C:\ComboFix\mbr.sys File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (catchme) -- C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys File not found DRV - (mbamchameleon) -- C:\WINDOWS\system32\drivers\mbamchameleon.sys () DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (RT73) -- C:\WINDOWS\system32\drivers\rt73.sys (Ralink Technology, Corp.) DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (ZD1211U(ZyXEL) -- C:\WINDOWS\system32\drivers\ZD1211U.sys (ZyDAS Technology Corporation) DRV - (ASNDIS5) -- C:\WINDOWS\system32\ASNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH) DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://google.de/" FF - prefs.js..extensions.enabledAddons: jqs%40sun.com:1.0 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.10 18:25:25 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.10 18:25:13 | 000,000,000 | ---D | M] [2009.04.19 20:31:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions [2012.10.24 07:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions [2012.10.14 03:55:54 | 000,000,000 | ---D | M] (German Dictionary, extended for Austria) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions\de-AT@dictionaries.addons.mozilla.org [2012.12.10 18:25:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.10.29 18:04:57 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.12.10 18:25:24 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.06.19 11:45:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.08 19:33:52 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.06.19 11:45:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.06.19 11:45:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.19 11:45:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.19 11:45:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.12.28 12:46:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe (SFirm Hannover) O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe (TightVNC Group) O4 - HKLM..\RunOnce: [Z1] C:\Dokumente und Einstellungen\Andreas\Desktop\mbar\mbar.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk = File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin) O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O12 - Plugin for: .spop - C:\Programme\Internet Explorer\PLUGINS\NPDocBox.dll (Intertrust Technologies, Inc.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1356101537906 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1563EE9D-A932-4D23-B725-48BF7F7ADE5E}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.05.25 09:58:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.12.28 12:29:25 | 000,000,000 | RHSD | C] -- C:\cmdcons [2012.12.28 12:21:08 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012.12.28 12:21:08 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012.12.28 12:21:08 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012.12.28 12:21:08 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012.12.28 12:21:01 | 000,000,000 | ---D | C] -- C:\Qoobox [2012.12.28 12:20:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Verwaltung [2012.12.28 12:20:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Videos [2012.12.28 12:20:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt [2012.12.27 21:39:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Desktop\mbar [2012.12.25 11:31:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.12.25 11:31:49 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.12.25 11:31:49 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.12.25 10:18:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore [2012.12.25 09:55:21 | 000,000,000 | ---D | C] -- C:\efbf2bb7be216e32abb1c374e7dd5fab [2012.12.25 09:38:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx [2012.12.25 09:28:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage [2012.12.25 06:45:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt [2012.12.24 15:33:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2012.12.24 12:15:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla [2012.12.24 12:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla [2012.12.24 07:20:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2012.12.24 02:37:33 | 001,372,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msxml6.dll [2012.12.24 02:37:33 | 000,093,184 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml6r.dll [2012.12.24 02:37:33 | 000,093,184 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msxml6r.dll [2012.12.24 02:37:17 | 000,086,016 | ---- | C] (Sipro Lab Telecom Inc.) -- C:\WINDOWS\System32\dllcache\sl_anet.acm [2012.12.24 02:37:13 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msaud32.acm [2012.12.24 02:37:10 | 000,290,816 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\WINDOWS\System32\dllcache\l3codeca.acm [2012.12.24 02:36:55 | 000,102,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dpcdll.dll [2012.12.24 02:36:53 | 000,046,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\irbus.sys [2012.12.24 02:36:53 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\comsdupd.exe [2012.12.24 02:36:52 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\smtpapi.dll [2012.12.24 02:36:52 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\rwnh.dll [2012.12.24 02:36:42 | 000,377,984 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvaa.dll [2012.12.24 02:36:42 | 000,229,376 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2cqag.dll [2012.12.24 02:36:42 | 000,201,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvag.dll [2012.12.24 02:36:42 | 000,136,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\aaclient.dll [2012.12.24 02:36:41 | 001,888,992 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3duag.dll [2012.12.24 02:36:41 | 000,870,784 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3d1ag.dll [2012.12.24 02:36:41 | 000,516,768 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ativvaxx.dll [2012.12.24 02:36:41 | 000,032,768 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativtmxx.dll [2012.12.24 02:36:41 | 000,023,040 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativmvxx.ax [2012.12.24 02:36:41 | 000,009,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativdaxx.ax [2012.12.24 02:36:40 | 000,233,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\azroles.dll [2012.12.24 02:36:40 | 000,007,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\bitsprx4.dll [2012.12.24 02:36:38 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3cfg.dll [2012.12.24 02:36:38 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dhcpqec.dll [2012.12.24 02:36:38 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dimsroam.dll [2012.12.24 02:36:37 | 000,651,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3ui.dll [2012.12.24 02:36:37 | 000,056,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3msm.dll [2012.12.24 02:36:37 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3gpclnt.dll [2012.12.24 02:36:36 | 000,184,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapp3hst.dll [2012.12.24 02:36:36 | 000,182,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapphost.dll [2012.12.24 02:36:36 | 000,095,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eappgnui.dll [2012.12.24 02:36:36 | 000,059,392 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapqec.dll [2012.12.24 02:36:34 | 000,032,285 | ---- | C] (Conexant Systems, Inc.) -- C:\WINDOWS\System32\hsfcisp2.dll [2012.12.24 02:36:31 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdiultn.dll [2012.12.24 02:36:31 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdbhc.dll [2012.12.24 02:36:30 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdpash.dll [2012.12.24 02:36:30 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdnepr.dll [2012.12.24 02:36:29 | 000,037,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\l2gpstore.dll [2012.12.24 02:36:28 | 000,397,312 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcex.dll [2012.12.24 02:36:28 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\microsoft.managementconsole.dll [2012.12.24 02:36:28 | 000,106,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcfxcommon.dll [2012.12.24 02:36:28 | 000,086,016 | ---- | C] (Conexant) -- C:\WINDOWS\System32\mdmxsdk.dll [2012.12.24 02:36:28 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcperf.exe [2012.12.24 02:36:27 | 000,155,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mssha.dll [2012.12.24 02:36:26 | 001,737,856 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\mtxparhd.dll [2012.12.24 02:36:26 | 000,198,656 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napmontr.dll [2012.12.24 02:36:26 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napstat.exe [2012.12.24 02:36:26 | 000,081,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msshavmsg.dll [2012.12.24 02:36:26 | 000,030,208 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napipsec.dll [2012.12.24 02:36:24 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll [2012.12.24 02:36:23 | 000,151,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\qagent.dll [2012.12.24 02:36:23 | 000,062,464 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\qcliprov.dll [2012.12.24 02:36:22 | 000,397,056 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\s3gnb.dll [2012.12.24 02:36:22 | 000,290,304 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\rhttpaa.dll [2012.12.24 02:36:21 | 000,286,792 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slextspk.dll [2012.12.24 02:36:21 | 000,188,508 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slgen.dll [2012.12.24 02:36:21 | 000,073,832 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slcoinst.dll [2012.12.24 02:36:21 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slrundll.exe [2012.12.24 02:36:21 | 000,032,768 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\setupn.exe [2012.12.24 02:36:20 | 000,073,796 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slserv.exe [2012.12.24 02:36:18 | 000,053,248 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\tsgqec.dll [2012.12.24 02:36:18 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\vidcap.ax [2012.12.24 02:36:17 | 000,346,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\windowscodecsext.dll [2012.12.24 02:36:16 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmphoto.dll [2012.12.24 02:36:16 | 000,069,120 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wlanapi.dll [2012.12.24 02:36:14 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\slrundll.exe [2012.12.24 02:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de [2012.12.24 02:36:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas [2012.12.24 02:36:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de [2012.12.24 02:36:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits [2012.12.24 02:26:56 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dlimport.exe [2012.12.24 02:22:51 | 000,004,255 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv01nt5.dll [2012.12.24 02:22:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic [2012.12.24 02:22:50 | 000,003,967 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv02nt5.dll [2012.12.24 02:22:50 | 000,003,775 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv11nt5.dll [2012.12.24 02:22:50 | 000,003,711 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv09nt5.dll [2012.12.24 02:22:50 | 000,003,647 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv07nt5.dll [2012.12.24 02:22:50 | 000,003,615 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv05nt5.dll [2012.12.24 02:22:50 | 000,003,135 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv08nt5.dll [2012.12.24 02:22:49 | 000,056,623 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1btxx.sys [2012.12.24 02:22:49 | 000,011,615 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1mdxx.sys [2012.12.24 02:22:48 | 000,063,663 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1rvxx.sys [2012.12.24 02:22:48 | 000,036,463 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1tuxx.sys [2012.12.24 02:22:48 | 000,030,671 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1raxx.sys [2012.12.24 02:22:48 | 000,026,367 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1snxx.sys [2012.12.24 02:22:48 | 000,021,343 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1ttxx.sys [2012.12.24 02:22:48 | 000,012,047 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1pdxx.sys [2012.12.24 02:22:47 | 000,701,952 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtag.sys [2012.12.24 02:22:47 | 000,327,168 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtaa.sys [2012.12.24 02:22:47 | 000,057,856 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinbtxx.sys [2012.12.24 02:22:47 | 000,034,735 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xsxx.sys [2012.12.24 02:22:47 | 000,029,455 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xbxx.sys [2012.12.24 02:22:46 | 000,104,960 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinrvxx.sys [2012.12.24 02:22:46 | 000,052,224 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinraxx.sys [2012.12.24 02:22:46 | 000,028,672 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinsnxx.sys [2012.12.24 02:22:46 | 000,014,336 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinpdxx.sys [2012.12.24 02:22:46 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinmdxx.sys [2012.12.24 02:22:45 | 000,073,216 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atintuxx.sys [2012.12.24 02:22:45 | 000,063,488 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxsxx.sys [2012.12.24 02:22:45 | 000,031,744 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxbxx.sys [2012.12.24 02:22:45 | 000,021,183 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv01nt5.dll [2012.12.24 02:22:45 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinttxx.sys [2012.12.24 02:22:44 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv04nt5.dll [2012.12.24 02:22:44 | 000,017,279 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv10nt5.dll [2012.12.24 02:22:44 | 000,014,143 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv06nt5.dll [2012.12.24 02:22:44 | 000,011,359 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv02nt5.dll [2012.12.24 02:22:43 | 000,036,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\bthprint.sys [2012.12.24 02:22:43 | 000,015,423 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\ch7xxnt5.dll [2012.12.24 02:22:40 | 001,309,184 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlstrm.sys [2012.12.24 02:22:40 | 000,126,686 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlmnt5.sys [2012.12.24 02:22:39 | 000,452,736 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\drivers\mtxparhm.sys [2012.12.24 02:22:39 | 000,180,360 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\ntmtlfax.sys [2012.12.24 02:22:39 | 000,013,776 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\recagent.sys [2012.12.24 02:22:39 | 000,012,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\mutohpen.sys [2012.12.24 02:22:38 | 000,166,912 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\drivers\s3gnbm.sys [2012.12.24 02:22:38 | 000,030,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\rndismpx.sys [2012.12.24 02:22:37 | 000,404,990 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slntamr.sys [2012.12.24 02:22:37 | 000,129,535 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnt7554.sys [2012.12.24 02:22:37 | 000,003,901 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\siint5.dll [2012.12.24 02:22:36 | 000,095,424 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnthal.sys [2012.12.24 02:22:36 | 000,013,240 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slwdmsup.sys [2012.12.24 02:22:36 | 000,005,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\smbali.sys [2012.12.24 02:22:35 | 000,011,807 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv07nt.sys [2012.12.24 02:22:35 | 000,011,325 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\vchnt5.dll [2012.12.24 02:22:34 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv10nt.sys [2012.12.24 02:22:34 | 000,022,271 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv06nt.sys [2012.12.24 02:22:34 | 000,011,935 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv11nt.sys [2012.12.24 02:22:34 | 000,011,871 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv09nt.sys [2012.12.24 02:22:34 | 000,011,295 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv08nt.sys [2012.12.24 02:15:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$ [2012.12.24 00:19:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dyn Updater [2012.12.24 00:19:09 | 000,000,000 | ---D | C] -- C:\Programme\DynDNS Updater [2012.12.24 00:18:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn [2012.12.23 20:58:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes [2012.12.23 20:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.12.23 20:49:41 | 010,669,896 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\herbert.exe [2012.12.23 20:49:41 | 001,754,528 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\abc.exe [2012.12.23 20:49:00 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2012.12.22 15:56:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XP Defender [2012.12.22 15:46:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities [2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu [2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina [2012.12.22 10:45:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles [2012.12.22 10:41:40 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox [2012.12.21 16:27:39 | 000,273,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\bthport.sys [2012.12.21 16:26:52 | 000,353,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\srv.sys [2012.12.21 16:25:12 | 000,455,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys [2012.12.21 16:25:00 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll [2012.12.21 16:24:37 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe [2012.12.21 16:24:09 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\t2embed.dll [2012.12.21 16:24:09 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fontsub.dll [2012.12.21 16:24:00 | 002,192,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe [2012.12.21 16:23:59 | 000,737,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\lsasrv.dll [2012.12.21 16:23:57 | 002,148,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe [2012.12.21 16:23:56 | 002,027,008 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe [2012.12.21 16:17:05 | 000,203,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rmcast.sys [2012.12.21 16:16:03 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2012.12.21 16:13:24 | 000,337,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\netapi32.dll [2012.12.21 15:52:53 | 000,697,272 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012.12.21 15:51:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Andreas\UserData [2012.12.12 17:51:33 | 371,250,488 | ---- | C] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe [2012.12.10 18:25:11 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.12.28 12:46:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.12.28 12:29:30 | 000,000,339 | RHS- | M] () -- C:\boot.ini [2012.12.28 09:00:07 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\SyncBack Eigene Dateien.job [2012.12.27 22:24:04 | 000,035,144 | ---- | M] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys [2012.12.27 22:23:28 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2012.12.27 22:21:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.12.27 22:00:56 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.12.26 23:24:32 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable [2012.12.25 09:19:16 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.12.25 09:19:16 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.12.25 09:19:16 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.12.25 09:19:16 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.12.24 07:27:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx [2012.12.24 07:20:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.12.24 02:22:02 | 000,251,712 | RHS- | M] () -- C:\ntldr [2012.12.24 00:19:17 | 000,000,525 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk [2012.12.23 20:56:27 | 000,000,335 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg [2012.12.22 16:09:17 | 000,046,075 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl [2012.12.22 16:02:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs [2012.12.22 10:42:12 | 000,001,087 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk [2012.12.21 15:52:53 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012.12.21 15:52:53 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012.12.16 18:39:10 | 000,004,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot 2013.htm [2012.12.16 18:30:51 | 000,103,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm [2012.12.14 16:04:18 | 000,000,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Bescheinigung.lnk [2012.12.12 17:51:32 | 371,250,488 | ---- | M] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe [2012.12.04 08:16:54 | 000,013,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.12.28 12:29:30 | 000,000,223 | ---- | C] () -- C:\Boot.bak [2012.12.28 12:29:26 | 000,262,448 | RHS- | C] () -- C:\cmldr [2012.12.28 12:21:08 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012.12.28 12:21:08 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012.12.28 12:21:08 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012.12.28 12:21:08 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012.12.28 12:21:08 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2012.12.27 22:24:04 | 000,035,144 | ---- | C] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys [2012.12.26 23:24:32 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable [2012.12.24 07:27:10 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Outlook Express.lnk [2012.12.24 07:27:08 | 000,000,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Internet Explorer.lnk [2012.12.24 02:37:25 | 000,010,457 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.hta [2012.12.24 02:37:25 | 000,001,771 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.css [2012.12.24 02:37:25 | 000,001,730 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpocm.inf [2012.12.24 02:37:25 | 000,000,420 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmploc.js [2012.12.24 02:37:24 | 000,660,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.chm [2012.12.24 02:37:24 | 000,076,456 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.adm [2012.12.24 02:37:24 | 000,026,141 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplay.chm [2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud7.wav [2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud6.wav [2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud9.wav [2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud8.wav [2012.12.24 02:37:23 | 000,086,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud5.wav [2012.12.24 02:37:22 | 000,354,468 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud1.wav [2012.12.24 02:37:22 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud3.wav [2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud4.wav [2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud2.wav [2012.12.24 02:37:22 | 000,058,216 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmp.inf [2012.12.24 02:37:21 | 000,013,540 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmfsdk.inf [2012.12.24 02:37:20 | 000,034,554 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmdm.inf [2012.12.24 02:37:20 | 000,008,677 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm7.gif [2012.12.24 02:37:20 | 000,007,892 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm9.gif [2012.12.24 02:37:20 | 000,004,193 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm8.gif [2012.12.24 02:37:19 | 000,300,969 | ---- | C] () -- C:\WINDOWS\System32\dllcache\viz.wmv [2012.12.24 02:37:19 | 000,017,489 | ---- | C] () -- C:\WINDOWS\System32\dllcache\videobg.gif [2012.12.24 02:37:19 | 000,007,636 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm2.gif [2012.12.24 02:37:19 | 000,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm4.gif [2012.12.24 02:37:19 | 000,006,241 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm3.gif [2012.12.24 02:37:19 | 000,006,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm6.gif [2012.12.24 02:37:19 | 000,005,789 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm1.gif [2012.12.24 02:37:19 | 000,005,290 | ---- | C] () -- C:\WINDOWS\System32\dllcache\vidsamp.gif [2012.12.24 02:37:19 | 000,002,477 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm5.gif [2012.12.24 02:37:18 | 000,023,829 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tourbg.gif [2012.12.24 02:37:18 | 000,003,187 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tour.js [2012.12.24 02:37:18 | 000,002,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplay.gif [2012.12.24 02:37:18 | 000,002,450 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpause.gif [2012.12.24 02:37:18 | 000,002,375 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplayh.gif [2012.12.24 02:37:18 | 000,002,371 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpauseh.gif [2012.12.24 02:37:18 | 000,001,398 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taon.gif [2012.12.24 02:37:18 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taonh.gif [2012.12.24 02:37:17 | 000,572,557 | ---- | C] () -- C:\WINDOWS\System32\dllcache\rtuner.wmv [2012.12.24 02:37:17 | 000,001,810 | ---- | C] () -- C:\WINDOWS\System32\dllcache\skins.inf [2012.12.24 02:37:17 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoff.gif [2012.12.24 02:37:17 | 000,001,367 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoffh.gif [2012.12.24 02:37:17 | 000,001,148 | ---- | C] () -- C:\WINDOWS\System32\dllcache\snd.htm [2012.12.24 02:37:16 | 000,084,531 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plyr_err.chm [2012.12.24 02:37:16 | 000,066,132 | ---- | C] () -- C:\WINDOWS\System32\dllcache\revert.wmz [2012.12.24 02:37:16 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst5.wpl [2012.12.24 02:37:16 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst6.wpl [2012.12.24 02:37:16 | 000,001,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst3.wpl [2012.12.24 02:37:16 | 000,001,467 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst4.wpl [2012.12.24 02:37:16 | 000,001,047 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst7.wpl [2012.12.24 02:37:16 | 000,001,038 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst8.wpl [2012.12.24 02:37:16 | 000,000,782 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst9.wpl [2012.12.24 02:37:15 | 000,375,519 | ---- | C] () -- C:\WINDOWS\System32\dllcache\nuskin.wmv [2012.12.24 02:37:15 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst12.wpl [2012.12.24 02:37:15 | 000,001,261 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst1.wpl [2012.12.24 02:37:15 | 000,001,055 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst2.wpl [2012.12.24 02:37:15 | 000,000,807 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst11.wpl [2012.12.24 02:37:15 | 000,000,800 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst10.wpl [2012.12.24 02:37:15 | 000,000,779 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst13.wpl [2012.12.24 02:37:15 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst14.wpl [2012.12.24 02:37:15 | 000,000,725 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst15.wpl [2012.12.24 02:37:14 | 000,022,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npds.zip [2012.12.24 02:37:14 | 000,000,403 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npdrmv2.zip [2012.12.24 02:37:12 | 000,036,610 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplayer2.inf [2012.12.24 02:37:12 | 000,002,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogoh.gif [2012.12.24 02:37:12 | 000,002,545 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogo.gif [2012.12.24 02:37:10 | 000,457,607 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mdlib.wmv [2012.12.24 02:37:10 | 000,005,971 | ---- | C] () -- C:\WINDOWS\System32\dllcache\events.js [2012.12.24 02:37:09 | 000,381,425 | ---- | C] () -- C:\WINDOWS\System32\dllcache\copycd.wmv [2012.12.24 02:37:09 | 000,009,585 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.css [2012.12.24 02:37:09 | 000,006,878 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.js [2012.12.24 02:37:08 | 000,184,109 | ---- | C] () -- C:\WINDOWS\System32\dllcache\compact.wmz [2012.12.24 02:37:08 | 000,008,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\contents.htm [2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnth.gif [2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnt.gif [2012.12.24 02:37:08 | 000,000,772 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cntd.gif [2012.12.24 02:37:08 | 000,000,760 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapph.gif [2012.12.24 02:37:08 | 000,000,717 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapp.gif [2012.12.24 02:37:07 | 000,000,999 | ---- | C] () -- C:\WINDOWS\System32\dllcache\bktrh.gif [2012.12.24 02:22:45 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod [2012.12.24 02:22:43 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty [2012.12.24 02:22:39 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img [2012.12.24 00:19:17 | 000,000,525 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk [2012.12.23 20:56:26 | 000,000,335 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg [2012.12.22 16:09:17 | 000,046,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl [2012.12.22 16:02:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs [2012.12.16 18:39:10 | 000,004,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot 2013.htm [2012.12.16 18:30:51 | 000,103,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm [2012.12.04 08:16:54 | 000,013,371 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm [2011.10.17 09:34:08 | 000,000,103 | ---- | C] () -- C:\WINDOWS\Setup_tmp.ini [2011.05.31 14:26:15 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\THBIni20.dll [2011.05.31 14:26:10 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\MC4MInt.dll ========== ZeroAccess Check ========== [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:06:44 | 001,509,888 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Andreas\Desktop\Liste Deutschland Zimmerbelegung d 34 Personen f d Fahrt nach Gertianosch vom 02.09.2010.docx:SummaryInformation < End of report > Code:
ATTFilter OTL Extras logfile created on: 28.12.2012 14:27:36 - Run 3
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
895,23 Mb Total Physical Memory | 509,00 Mb Available Physical Memory | 56,86% Memory free
2,12 Gb Paging File | 1,90 Gb Available in Paging File | 89,59% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 45,21 Gb Free Space | 60,67% Space Free | Partition Type: NTFS
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\ART\Office\msohtmed.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00180407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 Runtime
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{8E310838-457C-4269-B177-3EFB300CBDDC}" = Synology Data Replicator 3
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{AE617000-0F7E-42BC-B992-720285B89707}" = DiaScan ® digi+
"{DE2DA32A-F8C7-4E8E-B41D-E5031185CE3F}" = IPView Pro
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Areca" = Areca
"AU Plus 1.0" = AU Plus 1.0
"AU Plus mit Importmodul" = AU Plus mit Importmodul
"DynUpdater" = Dyn Updater
"FBDBServer_2_0_is1" = Firebird 2.0.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"schaden Plus" = schaden Plus
"schaden Plus_is1" = schaden Plus (novaPDF Server OEM 6.2 printer)
"SyncBack_is1" = SyncBack
"TeamViewer 7" = TeamViewer 7
"TightVNC_is1" = TightVNC 1.3.9
"TravelManager" = TravelManager
"UBCD4Win_is1" = UBCD4Win 3.60
"Windows XP Service Pack" = Windows XP Service Pack 3
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 23.12.2012 13:49:39 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:49:40 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00aa9858.
Error - 23.12.2012 13:50:49 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:50:52 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:51:03 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 13:51:22 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 23.12.2012 14:06:56 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
Error - 25.12.2012 04:23:14 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wgasetup.exe, Version 1.9.40.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 25.12.2012 08:51:05 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 26.12.2012 11:30:44 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.69.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 25.12.2012 10:34:13 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 27.12.2012 17:01:11 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 27.12.2012 17:02:40 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 27.12.2012 17:02:40 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 27.12.2012 17:23:14 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 27.12.2012 17:23:14 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 28.12.2012 07:20:57 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
< End of report >
Geändert von cronet (28.12.2012 um 15:05 Uhr) |
|
28.12.2012, 18:34
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Vermutlich Deutsche Post Trojaner Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2012, 22:00
| #15 |
| | Vermutlich Deutsche Post Trojaner Ok. Er hat hier schon noch was gefunden. Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2012.12.28.10 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Andreas :: COMPUTER1 [Administrator] Schutz: Aktiviert 28.12.2012 19:10:53 mbam-log-2012-12-28 (19-10-53).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 239843 Laufzeit: 4 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=6de43680ccf448469954bede088ac81b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-28 08:49:52
# local_time=2012-12-28 09:49:52 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# scanned=162349
# found=3
# cleaned=0
# scan_time=8439
C:\Backup\Sonstiges\Alte Festplatte\WINDOWS\Temporary Internet Files\Content.IE5\O5QNKDYN\ShineDirect[1].htm HTML/ScrInject.B.Gen virus (unable to clean) C7B90B5BAA4EB7433AFA517DF8225B89D7F1738F I
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx\eykKyFaptPx.dll Win32/Spy.Agent.NZU trojan (unable to clean) 8AF2EE94C406C2AE394FF884F249DF897EA8B156 I
C:\System Volume Information\_restore{1C8B681E-1422-451C-9133-B5700F251805}\RP1555\A0103945.exe Win32/Spy.Zbot.AAO trojan (unable to clean) D7318E33FEDA4BF45375CB5C2169345C112463F0 I
|
|
| Themen zu Vermutlich Deutsche Post Trojaner |
| .com, 0xc0000001, 32 bit, adobe reader xi, avira, bho, desktop, e-mail, error, exe, firefox, flash player, gruppe, helper, iexplore.exe, kis, logfile, object, plug-in, problem, problem mit dem pc, realtek, registry, scan, security, sfirm, software, synology, system, trojaner, windows, windows xp |
Linear-Darstellung
