Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Groupon Trojaner - Trojan.win32.inject.fexk

Groupon Trojaner - Trojan.win32.inject.fexk


Log-Analyse und Auswertung: Groupon Trojaner - Trojan.win32.inject.fexk

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 07.03.2013, 22:24   #1
jultschick
 
Groupon Trojaner - Trojan.win32.inject.fexk - Standard

Groupon Trojaner - Trojan.win32.inject.fexk


Hallo,

ich habe gestern Abend eine Mail von "Groupon" erhalten und leider den Anhang geöffnet. Mail-Inhalt ist wie von heise beschrieben: hxxp://www.heise.de/newsticker/meldung/Trojaner-tarnt-sich-als-Groupon-Rechnung-1817699.html mit meinem echten Namen.
Nur der Absender hätte etwas merkwürdig aufstoßen müssen(war ...@hotmail.fr).
Firefox stürzt seit dem ab. Seiten wie jotti.org oder virstotal sind blockiert und es befinden sich diverse krytische Dateien im Autostart(msconfig).

Edit:
PC wurde seitdem noch nicht neugestartet oder heruntergefahren.

Ich habe die Log-Dateien eingefügt. Kann mir jemand weiterhelfen? Vielen Dank auf alle Fälle

Konnte die Datei von einem anderen Rechner aus hochladen: hxxp://virusscan.jotti.org/de/scanresult/7c4f32dca09035e020966534f17c6cc2b649cd41/4a4b34dc8107a2182b6d37c08dbae776511ac94d
Falls von Interesse, kann ich diese gerne bereitstellen.


Logfiles:
Extras:
Code:
ATTFilter
OTL Extras logfile created on: 07.03.2013 20:55:26 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,48 Mb Total Physical Memory | 298,07 Mb Available Physical Memory | 59,32% Memory free
1,20 Gb Paging File | 0,99 Gb Available in Paging File | 82,29% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 12,72 Gb Free Space | 34,13% Space Free | Partition Type: NTFS
 
Computer Name: JULCHEN-0CF45CA | User Name: jultschick | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)
"D:\fscommand\UPDATER.EXE" = D:\fscommand\UPDATER.EXE:*:Enabled:Hercules Updater
"C:\WINXP\explorer.exe" = C:\WINXP\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}" = OpenOffice.org 3.4.1
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{8678BD65-D66E-48BB-8531-91D0EF8998A1}" = Hercules Classic Silver
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.2 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B08D94CF-88AA-45ED-B323-30B321DBC92A}" = O2Micro MemoryCardBus Windows Driver
"{C3C44248-B8F7-4B20-A5C7-994870B60F55}" = Hercules Webcam Station Evolution SE
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"InstallShield_{B08D94CF-88AA-45ED-B323-30B321DBC92A}" = O2Micro MemoryCardBus Windows Driver
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"WinLiveSuite_Wave3" = Windows Live Essentials
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 01.09.2012 10:25:06 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4363, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 01.09.2012 10:26:55 | Computer Name = JULCHEN-0CF45CA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.4363,
 fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.
 
Error - 06.09.2012 17:02:03 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 10.0.10.16, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.09.2012 08:18:03 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4363, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 01.10.2012 15:33:08 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wiaacmgr.exe, Version 5.1.2600.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.10.2012 07:32:20 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4363, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 11.11.2012 16:50:43 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 9.3.3.177, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.12.2012 16:45:49 | Computer Name = JULCHEN-0CF45CA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.4363,
 fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.
 
Error - 05.12.2012 16:47:00 | Computer Name = JULCHEN-0CF45CA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.4363,
 fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.
 
Error - 14.01.2013 17:17:32 | Computer Name = JULCHEN-0CF45CA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.4.9593.500, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 01.03.2013 05:14:00 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst stisvc.
 
Error - 01.03.2013 10:49:23 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst stisvc.
 
Error - 01.03.2013 18:29:56 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman.
 
Error - 02.03.2013 06:59:34 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst stisvc.
 
Error - 02.03.2013 07:32:16 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman.
 
Error - 02.03.2013 08:09:58 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection.
 
Error - 03.03.2013 07:55:56 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman.
 
Error - 03.03.2013 09:00:18 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection.
 
Error - 06.03.2013 09:28:39 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst stisvc.
 
Error - 07.03.2013 14:16:04 | Computer Name = JULCHEN-0CF45CA | Source = Service Control Manager | ID = 7034
Description = Dienst "WMI-Leistungsadapter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
 
< End of report >
OTL:
Code:
ATTFilter
OTL logfile created on: 07.03.2013 20:55:26 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,48 Mb Total Physical Memory | 298,07 Mb Available Physical Memory | 59,32% Memory free
1,20 Gb Paging File | 0,99 Gb Available in Paging File | 82,29% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 12,72 Gb Free Space | 34,13% Space Free | Partition Type: NTFS
 
Computer Name: JULCHEN-0CF45CA | User Name: jultschick | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.07 20:40:58 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\Downloads\OTL.exe
PRC - [2012.12.03 08:35:28 | 000,946,352 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2012.11.08 23:09:06 | 000,161,768 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2012.07.03 09:04:58 | 000,507,312 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 10:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe
PRC - [2004.06.18 15:31:02 | 000,067,584 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\SOUNDMAN.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2008.04.14 10:00:00 | 000,014,336 | ---- | M] () -- C:\WINXP\system32\msdmo.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2013.02.02 12:11:20 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.11.08 23:09:06 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2009.04.22 14:46:42 | 003,482,112 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\snp2uvc.sys -- (SNP2UVC)
DRV - [2009.02.08 23:42:42 | 000,099,968 | ---- | M] (Guillemot Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\hxctlflt.sys -- (hxctlflt)
DRV - [2005.09.11 23:00:00 | 003,298,432 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\w29n51.sys -- (w29n51)
DRV - [2004.06.21 15:53:20 | 000,626,204 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXWDM.SYS -- (ALCXWDM)
DRV - [2004.04.05 23:00:00 | 000,191,264 | R--- | M] (O2 Micro ) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\o2mmb.sys -- (CONAN)
DRV - [2004.04.05 23:00:00 | 000,005,760 | R--- | M] (O2 Micro) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\MbxStby.sys -- (MbxStby)
DRV - [2004.02.24 10:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003.11.21 14:20:10 | 000,113,152 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2003.10.08 09:11:30 | 000,011,831 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\A302.sys -- ({E6759E0C-470B-44DC-A4A1-627E68BB3A85})
DRV - [2003.10.08 09:11:26 | 000,033,847 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\wA301a.sys -- ({E2B953A6-195A-44F9-9BA3-3D5F4E32BB55})
DRV - [2001.08.18 02:35:52 | 000,035,913 | ---- | M] (SMC) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\smcirda.sys -- (SMCIRDA)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Bing"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.bing.com/search?FORM=IEFM1&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://www.bing.com/search?FORM=IEFM1&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\WINXP\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.02.02 12:11:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.02.02 12:11:33 | 000,000,000 | ---D | M]
 
[2010.06.20 20:50:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Mozilla\Extensions
[2013.02.04 21:54:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Mozilla\Firefox\Profiles\k7nuh21e.default\extensions
[2010.06.20 21:49:22 | 000,001,819 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Mozilla\Firefox\Profiles\k7nuh21e.default\searchplugins\bing.xml
[2013.02.02 12:11:37 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.02.02 12:11:25 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2013.02.02 12:11:06 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.02.02 12:11:06 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2013.02.02 12:11:06 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2013.02.02 12:11:06 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.02.02 12:11:06 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.02.02 12:11:06 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 10:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Eramofuq] C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Suihih\ciwei.exe ()
O4 - HKCU..\Run: [KB00637179.exe] C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\KB00637179.exe ()
O4 - HKCU..\Run: [ujenevbe] C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Houdajgx\bylwnyrevbe.exe (ARM Limited)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{80C2E10F-2A8D-4200-B09D-A2C93B323251}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINXP\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINXP\System32\deftm.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.20 19:17:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{a9e11f00-5988-11e0-b3ae-0012f05055d5}\Shell - "" = AutoRun
O33 - MountPoints2\{a9e11f00-5988-11e0-b3ae-0012f05055d5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a9e11f00-5988-11e0-b3ae-0012f05055d5}\Shell\AutoRun\command - "" = E:\Startme.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.07 19:14:42 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\CF536E58
[2013.03.07 19:04:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Myactu
[2013.03.07 19:04:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Loyvl
[2013.03.07 19:04:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Gyyl
[2013.03.07 19:02:36 | 000,000,000 | ---D | C] -- C:\WINXP\pss
[2013.03.07 18:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Liny
[2013.03.07 18:51:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Nyke
[2013.03.07 18:51:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Kazos
[2013.03.06 21:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Suihih
[2013.03.06 21:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Dimo
[2013.03.06 21:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Dike
[2013.03.06 21:27:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Houdajgx
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.07 20:55:16 | 000,000,207 | -HS- | M] () -- C:\boot.ini
[2013.03.07 20:40:28 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\defogger_reenable
[2013.03.07 19:14:59 | 000,125,440 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\KB00637179.exe
[2013.03.07 18:49:55 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2013.03.07 18:48:57 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2013.02.26 21:57:34 | 000,002,544 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\Woyzeck.rtf
[2013.02.24 23:12:30 | 000,009,897 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\global notiz.rtf
[2013.02.17 23:20:52 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.02.17 18:51:51 | 000,072,456 | ---- | M] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\global sourcing.odp
[2013.02.15 23:07:39 | 000,120,544 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT
[2013.02.14 18:59:09 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.07 20:40:28 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\defogger_reenable
[2013.03.07 19:14:39 | 000,125,440 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\KB00637179.exe
[2013.02.26 21:57:31 | 000,002,544 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\Woyzeck.rtf
[2013.02.15 20:55:58 | 000,072,456 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\global sourcing.odp
[2013.02.15 20:54:43 | 000,009,897 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\Desktop\global notiz.rtf
[2012.10.12 20:31:34 | 003,482,112 | ---- | C] () -- C:\WINXP\System32\drivers\snp2uvc.sys
[2012.10.12 20:31:34 | 000,184,320 | ---- | C] ( ) -- C:\WINXP\System32\rsnp2uvc.dll
[2012.10.12 20:31:34 | 000,176,128 | ---- | C] ( ) -- C:\WINXP\System32\csnp2uvc.dll
[2012.10.12 20:31:34 | 000,027,264 | ---- | C] () -- C:\WINXP\System32\drivers\sncduvc.sys
[2012.10.12 20:31:34 | 000,015,497 | ---- | C] () -- C:\WINXP\snp2uvc.ini
[2012.10.12 20:30:47 | 000,015,144 | ---- | C] () -- C:\WINXP\System32\HWLMSET2PS.dll
[2012.02.13 11:50:46 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll
[2011.12.10 12:53:00 | 000,000,754 | ---- | C] () -- C:\WINXP\WORDPAD.INI
[2010.07.09 13:46:02 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 10:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINXP\system32\wbem\fastprox.dll -- [2009.08.03 20:13:55 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINXP\system32\wbem\wbemess.dll -- [2008.04.14 10:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.03.07 19:30:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\CF536E58
[2013.03.06 21:27:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Dike
[2013.03.07 19:17:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Dimo
[2013.03.07 19:04:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Gyyl
[2013.03.06 21:27:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Houdajgx
[2013.03.07 18:51:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Kazos
[2013.03.07 18:51:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Liny
[2013.03.07 19:04:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Loyvl
[2013.03.07 19:04:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Myactu
[2013.03.07 18:51:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Nyke
[2012.11.10 21:38:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\OpenOffice.org
[2011.03.28 23:37:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Sony
[2013.03.06 21:27:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Suihih
 
========== Purity Check ==========
 
 

< End of report >
Malwarebytes AntiMalware:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.07.14

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
jultschick :: JULCHEN-0CF45CA [Administrator]

07.03.2013 21:16:26
MBAM-log-2013-03-07 (22-17-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212209
Laufzeit: 15 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Trojan.FakeMS.PRGen) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Eramofuq (IPH.Trojan.Zbot.Rke) -> Daten: "C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Suihih\ciwei.exe" -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ujenevbe (Trojan.Agent.MU) -> Daten: C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Houdajgx\bylwnyrevbe.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|KB00637179.exe (Trojan.Agent.Gen) -> Daten: "C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\KB00637179.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Suihih\ciwei.exe (IPH.Trojan.Zbot.Rke) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Houdajgx\bylwnyrevbe.exe (Trojan.Agent.MU) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Kazos\naqo.exe (Trojan.Agent.MU) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\Loyvl\keul.exe (Trojan.Agent.MU) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Eigene Dateien\Downloads\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Keine Aktion durchgeführt.
C:\WINXP\system32\deftm.exe (Trojan.FakeMS.PRGen) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Temp\crjlxvoadg.pre (Trojan.EOFail) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Temp\dfzkbclmny.pre (Trojan.EOFail) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Temp\iysphfzkbc.pre (Trojan.EOFail) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Lokale Einstellungen\Temp\{4F10-BAF954-BAFD54} (Trojan.FakeMS.PRGen) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jultschick\Anwendungsdaten\KB00637179.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)
Geändert von jultschick (07.03.2013 um 22:31 Uhr)

Alt 08.03.2013, 12:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Groupon Trojaner - Trojan.win32.inject.fexk - Standard

Groupon Trojaner - Trojan.win32.inject.fexk


Hallo und

Zitat:
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Warum bitte eine Professional Edition für Windows? Wer braucht das als Heimanwender?
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________

__________________
Alt 08.03.2013, 13:31   #3
jultschick
 
Groupon Trojaner - Trojan.win32.inject.fexk - Standard

Groupon Trojaner - Trojan.win32.inject.fexk


Hallo cosinus und vielen Dank für die freundliche Begrüßung!

Zitat:
Zitat von cosinus Beitrag anzeigen
Warum bitte eine Professional Edition für Windows? Wer braucht das als Heimanwender?
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?
Ich glaube es war mal einer, der gute hat mittlerweile auch seine 6-7 Jahre runter. Genaueres weiß ich leider nicht, da der Laptop meiner Freundin gehört.

Zitat:
Zitat von cosinus Beitrag anzeigen
Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520
Nein, weitere Log-Dateien habe ich nicht angefertigt. Alle Tools liefen im Quick-Scan. Aber Malwarebytes hatte ich beigefügt. Fehlen nötige Log-Dateien? Dann liefere ich diese gerne nach.

Mit freundlichen Grüßen
__________________
Alt 08.03.2013, 14:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Groupon Trojaner - Trojan.win32.inject.fexk - Standard

Groupon Trojaner - Trojan.win32.inject.fexk


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Bitte nun Logs mit GMER (<<< klick für Anleitung) und MBAR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur MBAR aus.

Anleitung MBAR:

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Groupon Trojaner - Trojan.win32.inject.fexk
.dll, adobe, adobe flash player, bho, blockiert, desktop, dll, einstellungen, error, explorer, flash player, format, google, groupon, groupon trojaner, helper, microsoft, mozilla, ntdll.dll, plug-in, realtek, registry, rundll, scan, security, seiten, software, temp, trojan.agent.ge, trojan.eofail, trojaner


« GVU Bundesamt für Sicherheit in der Informationstechnik TROJANER | Antivir fehlanzeige? »


Ähnliche Themen: Groupon Trojaner - Trojan.win32.inject.fexk


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  3. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  4. MWB-fund:Trojan.Inject,Trojan. Ransomware und Spyware
    Plagegeister aller Art und deren Bekämpfung - 26.12.2013 (19)
  5. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  6. Trojan.Win32.infect.fexk, Malware findet nichts, bis jetzt auch keine Probleme
    Plagegeister aller Art und deren Bekämpfung - 07.03.2013 (1)
  7. Trajan.win32.inject.fexk
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (1)
  8. Trojan.win32.inject.fbmn als MMS-Anhang im Mailpostfach unter Mac
    Alles rund um Mac OSX & Linux - 21.02.2013 (1)
  9. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  10. Trace.Registry.trojan-dropper.win32.inject!E1
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (6)
  11. Trace.Registry.trojan-dropper.win32.inject!E1 entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (11)
  12. Verschlüsselungs Trojaner und warscheinlich noch mehr: Trojan.Win32.Inject.efnl
    Log-Analyse und Auswertung - 03.07.2012 (5)
  13. Trojaner 'TR/Inject.eava' [trojan] - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2012 (8)
  14. Infizierung mit Trojan.Win32.Inject.arpx!A2 - Wie lässt sich dieser Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 25.05.2011 (10)
  15. Firefox langsam, u.a. Trojan.Inject und Trojan.Downloader gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (15)
  16. Facebook trojaner Trojan.Win32.Inject.apdr
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (7)
  17. Heur.Invader, Trojan.Win32.Inject.mf oder was ganz anderes?
    Log-Analyse und Auswertung - 15.07.2008 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Groupon Trojaner - Trojan.win32.inject.fexk - Hallo, ich habe gestern Abend eine Mail von "Groupon" erhalten und leider den Anhang geöffnet. Mail-Inhalt ist wie von heise beschrieben: hxxp://www.heise.de/newsticker/meldung/Trojaner-tarnt-sich-als-Groupon-Rechnung-1817699.html mit meinem echten Namen. Nur der Absender hätte - Groupon Trojaner - Trojan.win32.inject.fexk...
Archiv
Du betrachtest: Groupon Trojaner - Trojan.win32.inject.fexk auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55