Hotel.de Trojaner

stefgig12 · 18.03.2013, 11:43

Hallo,

leider habe ich heute ein Hotel gebucht und ich dachte das wäre meine Reservierungsbestätigung

Und schon war die pdf.exe geöffnet.

Jetzt läuft der Computer nicht mehr so rund

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:03:01, on 18.3.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINXP\SYSTEM32\DWRCS.EXE
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\Kyocera\FileUtility\SFUSVC.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Kyocera\FileUtility\nsCatCom.exe
C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINXP\SYSTEM32\DWRCST.exe
C:\Programme\TeamViewer\Version7\TeamViewer.exe
C:\Programme\TeamViewer\Version7\tv_w32.exe
C:\WINXP\Explorer.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\PROGRA~1\Eraser\Eraser.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\msiexec.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\sistray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\taskmgr.exe
C:\Dokumente und Einstellungen\npc1\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://portal.eurolog.com/webportal/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DameWare MRC Agent] C:\WINXP\system32\DWRCST.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [{DE09125B-DCFD-CA0C-A965-0320107447E5}] "C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Anyr\uhuqupa.exe"
O4 - HKCU\..\Run: [KB00430703.exe] "C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\KB00430703.exe"
O4 - HKLM\..\Policies\Explorer\Run: [10415] c:\dokume~1\alluse~1\dxdamooa.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINXP\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5554DCB0-700B-498D-9B58-4E40E5814405} (RSClientPrint 2008 Class) - hxxp://my.vtl.de/Portal/Reserved.ReportViewerWebControl.axd?ReportSession=r5mu1iycil4y2m455xmzzke4&Culture=1031&CultureOverrides=True&UICulture=1031&UICultureOverrides=True&ReportStack=1&ControlID=585ae2a69d9c46ba84023610a67fa2df&OpType=PrintCab&Arch=X86
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1277385052357
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINXP\SYSTEM32\DWRCS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Kyocera\FileUtility\SFUSVC.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8143 bytes

--- --- ---

malwarebytes schon gestartet

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.18.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
npc1 :: NPC1 [Administrator]

Schutz: Aktiviert

18.3.2013 10:56:49
mbam-log-2013-03-18 (10-56-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 405247
Laufzeit: 59 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Das Programm hat vorher 2 Dateien
Dokumente und Einstellungen\allusers\dxdamooa.exe
Trojan.EOFAIL

Dokumente und Einstellungen\npc1\Anwendungsdaten\KB00430703.exe
Trojan.Agent.Gen

IN Quarantäne verschoben

IM CCleaner wurden von mir 2 Autostarts deaktiviert
C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Anyr\uhuqupa.exe
C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\KB00430703.exe

Sry für den HijackThis post

cosinus · 18.03.2013, 13:21

Hallo und

Lesestoff:
Bitte keine Hijackthis-Logfiles posten!!!

Zitat:

Zitat von Larusso

Uns ist klar, dass HijackThis wahrscheinlich eines der bekanntesten Analysetools ist.

Jedoch scannt es nur noch sehr oberflächlich und gibt uns für eine genaue Analyse eures Systems zu wenig Informationen.

Darum, bitte keine HijackThis Logfiles posten, sondern folgendes lesen und abarbeiten.

http://www.trojaner-board.de/69886-a...-beachten.html

Nur mit diesen Informationen können wir euch helfen.

Danke

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

stefgig12 · 18.03.2013, 13:36

Nein ich habe leider keine Logfiles mehr

cosinus · 18.03.2013, 13:57

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Erstmal eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in CODE-Tags in den Thread.

stefgig12 · 18.03.2013, 14:38

hier nun logs von OTL

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 18.3.2013 14:25:37 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\npc1\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy
 
3,25 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 71,79% Memory free
4,17 Gb Paging File | 3,44 Gb Available in Paging File | 82,57% Paging File free
Paging file location(s): c:\pagefile.sys 1104 2208 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 244,16 Gb Total Space | 198,81 Gb Free Space | 81,43% Space Free | Partition Type: NTFS
Drive D: | 221,60 Gb Total Space | 207,14 Gb Free Space | 93,47% Space Free | Partition Type: NTFS
Drive M: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive U: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive V: | 69,99 Gb Total Space | 22,60 Gb Free Space | 32,29% Space Free | Partition Type: NTFS
Drive X: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive Y: | 1,00 Gb Total Space | 1,00 Gb Free Space | 100,00% Space Free | Partition Type: NTFS
Drive Z: | 69,99 Gb Total Space | 22,60 Gb Free Space | 32,29% Space Free | Partition Type: NTFS
 
Computer Name: NPC1 | User Name: npc1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\npc1\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\TeamViewer\Version8\TeamViewer.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version8\tv_w32.exe (TeamViewer GmbH)
PRC - C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe (VMware, Inc.)
PRC - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Programme\Eraser\Eraser.exe (The Eraser Project)
PRC - C:\WINXP\system32\DWRCST.EXE (DameWare Development)
PRC - C:\WINXP\system32\DWRCS.EXE (DameWare Development LLC)
PRC - C:\Programme\Kyocera\FileUtility\NsCatCom.exe (KYOCERA MITA Corporation)
PRC - C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
PRC - C:\WINXP\system32\sistray.exe (Silicon Integrated Systems Corporation)
PRC - C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\OfcDog.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe (Trend Micro Inc.)
PRC - C:\Programme\Kyocera\FileUtility\SFUSVC.exe (KYOCERA MITA CORPORATION)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\024c898ad1ccfde466d033c0a08d0564\Microsoft.VisualBasic.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ba12e418b906593b7c9c18f971f36bf9\System.Windows.Forms.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\System.Core\edbf4e4a55e63b9fbf0b0b40cba13063\System.Core.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll ()
MOD - C:\WINXP\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll ()
MOD - C:\Programme\NVIDIA Corporation\nView\nvShell.dll ()
MOD - C:\Programme\FileZilla FTP Client\fzshellext.dll ()
MOD - C:\Programme\TeraCopy\TeraCopyExt.dll ()
MOD - C:\WINXP\system32\msdmo.dll ()
MOD - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
MOD - C:\Programme\Trend Micro\OfficeScan Client\TimeString.dll ()
MOD - C:\WINXP\system32\ngprtserv.dll ()
MOD - C:\WINXP\system32\pdfcmnnt.dll ()
MOD - C:\Programme\Kyocera\FileUtility\HgTiff2Pdf.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (TeamViewer8) -- C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (VMUSBArbService) -- C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe (VMware, Inc.)
SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (DWMRCS) -- C:\WINXP\system32\DWRCS.EXE (DameWare Development LLC)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ntrtscan) -- C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe (Trend Micro Inc.)
SRV - (tmlisten) -- C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe (Trend Micro Inc.)
SRV - (SFUSVC) -- C:\Programme\Kyocera\FileUtility\SFUSVC.exe (KYOCERA MITA CORPORATION)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (MBAMProtector) -- C:\WINXP\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (VSApiNt) -- C:\Programme\Trend Micro\OfficeScan Client\vsapint.sys (Trend Micro Inc.)
DRV - (TmFilter) -- C:\Programme\Trend Micro\OfficeScan Client\tmxpflt.sys (Trend Micro Inc.)
DRV - (TmPreFilter) -- C:\Programme\Trend Micro\OfficeScan Client\tmpreflt.sys (Trend Micro Inc.)
DRV - (nvrd32) -- C:\WINXP\system32\drivers\nvrd32.sys (NVIDIA Corporation)
DRV - (nvgts) -- C:\WINXP\system32\drivers\nvgts.sys (NVIDIA Corporation)
DRV - (hcmon) -- C:\WINXP\system32\drivers\hcmon.sys (VMware, Inc.)
DRV - (IntcAzAudAddService) -- C:\WINXP\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (nvnetbus) -- C:\WINXP\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINXP\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (SiSkp) -- C:\WINXP\system32\drivers\srvkp.sys (Silicon Integrated Systems Corporation)
DRV - (SiS315) -- C:\WINXP\system32\drivers\sisgrp.sys (Silicon Integrated Systems Corporation)
DRV - (ALCXWDM) -- C:\WINXP\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (MTsensor) -- C:\WINXP\system32\drivers\ASACPI.sys ()
DRV - (AN983) -- C:\WINXP\system32\drivers\an983.sys (ADMtek Incorporated.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://portal.eurolog.com/webportal/
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\..\SearchScopes,DefaultScope = {344C0CC3-E591-40B6-B5E8-1DA8339CEDA8}
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\..\SearchScopes\{031ED8D3-7E1A-4148-B6DA-2406CD303965}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\..\SearchScopes\{344C0CC3-E591-40B6-B5E8-1DA8339CEDA8}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINXP\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.2: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\@vmware.com/vmrc,version=2.5.0.00000: C:\Programme\Gemeinsame Dateien\VMware\VMware VMRC Plug-in\Firefox\np-vmware-vmrc.dll (VMware, Inc.)
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 09:05:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.03.08 09:05:36 | 000,000,000 | ---D | M]
 
[2011.05.27 13:15:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Extensions
[2011.05.27 13:15:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2013.02.25 09:05:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions
[2012.10.08 10:07:07 | 000,000,000 | ---D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}
[2013.01.07 08:23:13 | 000,000,000 | ---D | M] (IE Tab 2 (FF 3.6+)) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB}
[2013.02.25 09:05:22 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.10.15 07:53:58 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions\de-DE@dictionaries.addons.mozilla.org
[2013.02.14 09:28:45 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Mozilla\Firefox\Profiles\default.o23\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.03.08 09:05:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.03.08 09:05:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013.03.08 09:05:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.03.08 09:05:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2013.03.08 09:05:43 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.08.14 16:49:30 | 000,171,136 | ---- | M] (Tracker Software Products (Canada) Ltd.) -- C:\Programme\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll
[2012.08.25 03:49:52 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.25 03:49:52 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.08.25 03:49:52 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.08.25 03:49:52 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.08.25 03:49:52 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.08.25 03:49:52 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 10:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [DameWare MRC Agent] C:\WINXP\system32\DWRCST.EXE (DameWare Development)
O4 - HKLM..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe (The Eraser Project)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [SiSPower] C:\WINXP\System32\SiSPower.dll (Silicon Integrated Systems Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Utility Tray.lnk = C:\WINXP\system32\sistray.exe (Silicon Integrated Systems Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 10415 = c:\dokume~1\alluse~1\dxdamooa.exe
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1409082233-492894223-1606980848-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2489381260-1297608308-1549814956-1133\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {5554DCB0-700B-498D-9B58-4E40E5814405} hxxp://my.vtl.de/Portal/Reserved.ReportViewerWebControl.axd?ReportSession=r5mu1iycil4y2m455xmzzke4&Culture=1031&CultureOverrides=True&UICulture=1031&UICultureOverrides=True&ReportStack=1&ControlID=585ae2a69d9c46ba84023610a67fa2df&OpType=PrintCab&Arch=X86 (RSClientPrint 2008 Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1277385052357 (WUWebControl Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINXP\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINXP\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = GerbethDomain.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9B396355-7F53-4FB8-8B37-A9607D6AADCE}: NameServer = 101.0.0.9,101.0.0.250
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.21 11:35:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004.08.04 14:13:16 | 000,000,000 | ---D | M] - Y:\Autopcc.cfg -- [ NTFS ]
O32 - AutoRun File - [2004.04.07 22:19:04 | 000,176,207 | ---- | M] () - Y:\AutoPcc.exe -- [ NTFS ]
O32 - AutoRun File - [2004.01.14 21:17:52 | 000,003,217 | ---- | M] () - Y:\AUTOPCC.MSG -- [ NTFS ]
O32 - AutoRun File - [2003.03.28 16:19:52 | 000,000,995 | ---- | M] () - Y:\AUTOPCC.PIF -- [ NTFS ]
O32 - AutoRun File - [2004.04.07 22:19:04 | 000,176,207 | ---- | M] () - Y:\AutoPccP.exe -- [ NTFS ]
O33 - MountPoints2\{f81035be-e294-11e0-9842-0030056281b1}\Shell - "" = AutoRun
O33 - MountPoints2\{f81035be-e294-11e0-9842-0030056281b1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f81035be-e294-11e0-9842-0030056281b1}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.18 14:21:56 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\npc1\Desktop\OTL.exe
[2013.03.18 13:54:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TeamViewer 8
[2013.03.18 11:02:47 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\npc1\Desktop\HiJackThis204.exe
[2013.03.18 10:42:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\3C2FE8B7
[2013.03.18 10:42:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Identities
[2013.03.18 10:41:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Fyevpii
[2013.03.18 10:41:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Anyr
[2013.03.08 09:05:34 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.03.07 16:08:32 | 000,143,872 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javacpl.cpl
[2013.03.07 16:08:31 | 000,262,560 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javaws.exe
[2013.03.07 16:08:27 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javaw.exe
[2013.03.07 16:08:27 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\java.exe
[2013.03.07 16:08:27 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\WindowsAccessBridge.dll
[2013.03.07 16:08:12 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2013.02.28 09:58:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\npc1\Eigene Dateien\test
[2013.02.27 08:15:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\npc1\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.02.26 14:09:02 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\npc1\Recent
[2013.02.26 08:20:49 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.18 14:21:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\npc1\Desktop\OTL.exe
[2013.03.18 13:44:00 | 000,000,880 | ---- | M] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job
[2013.03.18 12:12:32 | 000,012,620 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2013.03.18 12:09:22 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2013.03.18 11:02:44 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\npc1\Desktop\HiJackThis204.exe
[2013.03.18 10:46:54 | 000,001,890 | -H-- | M] () -- C:\Dokumente und Einstellungen\npc1\Eigene Dateien\Default.rdp
[2013.03.18 10:46:46 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.15 11:38:55 | 000,046,516 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\1.jpg
[2013.03.13 11:45:30 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- C:\WINXP\System32\FlashPlayerApp.exe
[2013.03.13 11:45:30 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- C:\WINXP\System32\FlashPlayerCPLApp.cpl
[2013.03.12 12:16:50 | 015,120,907 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\526012_Angebot_Knoll_Fichtestrasse.PDF
[2013.03.07 16:08:18 | 000,094,112 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\WindowsAccessBridge.dll
[2013.03.07 16:08:16 | 000,262,560 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javaws.exe
[2013.03.07 16:08:16 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javaw.exe
[2013.03.07 16:08:16 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\java.exe
[2013.03.07 16:08:16 | 000,143,872 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javacpl.cpl
[2013.03.07 16:08:15 | 000,861,088 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\npdeployJava1.dll
[2013.03.07 16:08:15 | 000,782,240 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\deployJava1.dll
[2013.03.07 11:26:35 | 000,062,514 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\g4260293.23004615.pdf
[2013.03.01 03:26:59 | 006,012,928 | ---- | M] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\mshtml.dll
[2013.02.27 12:15:59 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLev.DAT
[2013.02.26 13:37:03 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2013.02.21 08:19:41 | 000,000,779 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Content Manager 2.lnk
[2013.02.20 09:11:15 | 000,000,281 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Verknüpfung mit _ge_fortras.lnk
[2013.02.18 11:26:44 | 621,283,886 | ---- | M] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Hirens.BootCD.15.2.zip
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.18 10:46:46 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.12 12:16:23 | 015,120,907 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Desktop\526012_Angebot_Knoll_Fichtestrasse.PDF
[2013.03.07 11:26:42 | 000,062,514 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Desktop\g4260293.23004615.pdf
[2013.02.26 13:37:03 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2013.02.21 08:19:41 | 000,000,779 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Content Manager 2.lnk
[2013.02.20 09:11:15 | 000,000,281 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Verknüpfung mit _ge_fortras.lnk
[2013.02.18 11:04:47 | 621,283,886 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Desktop\Hirens.BootCD.15.2.zip
[2012.02.15 01:13:19 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll
[2011.12.05 17:12:10 | 000,002,559 | ---- | C] () -- C:\WINXP\cfgrt_ex.ini
[2011.11.21 16:51:58 | 000,016,086 | ---- | C] () -- C:\WINXP\Ascd_log.ini
[2011.11.21 16:49:11 | 000,016,048 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini
[2011.11.21 16:48:37 | 000,012,536 | ---- | C] () -- C:\WINXP\System32\drivers\ASUSHWIO.SYS
[2011.11.08 10:05:56 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Licenses
[2011.11.08 10:05:55 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Legacy
[2011.11.08 10:05:37 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAS
[2011.11.08 10:05:36 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logs
[2011.11.08 10:05:36 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Libraries
[2011.11.08 10:05:35 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Limiter
[2011.10.17 12:39:06 | 001,074,560 | ---- | C] () -- C:\WINXP\System32\nvdrsdb1.bin
[2011.10.17 12:39:06 | 001,074,560 | ---- | C] () -- C:\WINXP\System32\nvdrsdb0.bin
[2011.10.17 12:39:06 | 000,000,001 | ---- | C] () -- C:\WINXP\System32\nvdrssel.bin
[2011.10.17 12:38:54 | 002,284,064 | ---- | C] () -- C:\WINXP\System32\nvdata.data
[2011.10.17 12:31:58 | 000,003,276 | R--- | C] () -- C:\WINXP\System32\drivers\nvphy.bin
[2011.10.17 12:29:53 | 000,005,810 | R--- | C] () -- C:\WINXP\System32\drivers\ASACPI.sys
[2011.10.04 12:15:12 | 000,003,209 | ---- | C] () -- C:\WINXP\cfgrs.ini
[2011.08.16 19:14:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Lokale Einstellungen\Anwendungsdaten\{B364E0FC-CF68-4568-8521-7F73B42AD260}
[2011.07.25 14:06:17 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.27 15:04:40 | 000,000,170 | ---- | C] () -- C:\WINXP\nscatch.ini
[2011.03.15 08:55:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Instrument Library
[2011.03.15 08:55:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installer Plugin
[2011.03.15 08:55:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Images
[2011.03.15 08:55:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Image Units
[2011.03.15 08:55:42 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLev.DAT
[2011.03.15 08:55:42 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLes.DAT
[2011.03.15 08:55:41 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\npc1\Anwendungsdaten\Image Manipulation
[2011.03.15 08:55:41 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLet.DAT
[2011.03.15 08:55:41 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InkjetPrinter
[2010.06.21 16:38:16 | 000,072,979 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\IM000881.jpg
[2010.06.21 16:38:16 | 000,070,352 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\IM000880.jpg
[2010.06.21 16:38:16 | 000,067,721 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\IM000879.jpg
[2010.06.21 16:38:16 | 000,065,529 | ---- | C] () -- C:\Dokumente und Einstellungen\npc1\IM000882.jpg
[2010.06.21 16:32:38 | 000,004,638 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2010.11.30 15:44:58 | 000,000,227 | RHS- | M] () -- C:\WINXP\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:06:44 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINXP\System32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINXP\System32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >

--- --- ---

[/CODE]

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 18.3.2013 14:25:37 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\npc1\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy
 
3,25 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 71,79% Memory free
4,17 Gb Paging File | 3,44 Gb Available in Paging File | 82,57% Paging File free
Paging file location(s): c:\pagefile.sys 1104 2208 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 244,16 Gb Total Space | 198,81 Gb Free Space | 81,43% Space Free | Partition Type: NTFS
Drive D: | 221,60 Gb Total Space | 207,14 Gb Free Space | 93,47% Space Free | Partition Type: NTFS
Drive M: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive U: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive V: | 69,99 Gb Total Space | 22,60 Gb Free Space | 32,29% Space Free | Partition Type: NTFS
Drive X: | 30,51 Gb Total Space | 22,81 Gb Free Space | 74,75% Space Free | Partition Type: NTFS
Drive Y: | 1,00 Gb Total Space | 1,00 Gb Free Space | 100,00% Space Free | Partition Type: NTFS
Drive Z: | 69,99 Gb Total Space | 22,60 Gb Free Space | 32,29% Space Free | Partition Type: NTFS
 
Computer Name: NPC1 | User Name: npc1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_USERS\S-1-5-21-2489381260-1297608308-1549814956-1133\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"6129:TCP" = 6129:TCP:*:Enabled:DameWare Mini Remote Control Service
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
"C:\Programme\TeamViewer\Version8\TeamViewer.exe" = C:\Programme\TeamViewer\Version8\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\WINXP\system32\msiexec.exe" = C:\WINXP\system32\msiexec.exe:*:Generic Host Process -- (Microsoft Corporation)
"C:\WINXP\system32\svchost.exe" = C:\WINXP\system32\svchost.exe:*:Generic Host Process -- (Microsoft Corporation)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{04805AB6-F757-496A-8D56-37A0FC5FF6F3}" = VMware vSphere Client 5.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{25569723-DC5A-4467-A639-79535BF01B71}" = Adobe Help Center 2.1
"{256BE30C-2A7E-4F0D-9B3D-A9C4115A7A00}" = VMware Data Recovery
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{392A74D0-4DFE-49F7-87C3-8A61708F8856}" = Eraser 6.0.8.2273
"{402ED4A1-8F5B-387A-8688-997ABF58B8F2}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{537575D6-3B96-474C-BD8F-DFF667363DBD}" = Naviextras Toolbox Prerequesities
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5CAD3393-EEC0-44CE-9F93-BCAA365B77FB}" = Nikon Movie Editor
"{61C79AE1-5403-4687-AC68-28BFA5EF3895}" = Kyocera Scanner File Utility
"{7FC7AD70-1DF3-4B84-9AA2-4FB680F45572}_is1" = Hex-Editor MX
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility
"{8B922CF8-8A6C-41CE-A858-F1755D7F5D29}" = NVIDIA PhysX
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90E00407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Outlook 2003
"{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1" = PDF-Viewer
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}" = Adobe Photoshop Elements 5.0
"{B014EE44-9197-4513-9613-71E6EB1B514E}" = Nikon Message Center 2
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 310.90
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 310.90
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 136.53
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.1031
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.11.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5945672-BA86-4095-865F-58E9C8A48205}" = Lotus Notes 6.0.3 de
"{DC226AC9-0314-496C-BE6A-B6A132628466}" = SiSAGP driver
"{DFAA3D2B-7087-464E-823B-738A23C29C27}" = Microsoft Visual J# 2.0 Redistributable Package - SE
"{E64C137C-D0B7-467A-B47F-460AAB30F0A3}" = ViewNX 2
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 5" = Adobe Photoshop Elements 5.0
"CCleaner" = CCleaner
"Content Manager 2" = Content Manager 2
"FastImageResizer" = FastImageResizer (remove only)
"FileZilla Client" = FileZilla Client 3.6.0.2
"HD Tune_is1" = HD Tune 2.55
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Visual J# 2.0 Redistributable Package - SE" = Microsoft Visual J# 2.0 Redistributable Package - SE
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NETGEAR Print Server Software" = NETGEAR Print Server Software
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"OfficeScanNT" = Trend Micro OfficeScan Client
"PSPad editor_is1" = PSPad editor
"RealVNC_is1" = VNC Free Edition 4.1.3
"SiS VGA Driver" = SiS VGA Utilities
"TeamViewer 8" = TeamViewer 8
"TeraCopy_is1" = TeraCopy 2.27
"TomTom HOME" = TomTom HOME 2.8.2.2264
"VLC media player" = VLC media player 1.1.2
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2489381260-1297608308-1549814956-1133\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"6c91327b794145d3" = CTL Kalkulation
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 18.3.2013 07:05:58 | Computer Name = NPC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mstsc.exe, Version 6.0.6001.18589, fehlgeschlagenes
 Modul mstscax.dll, Version 6.0.6001.18589, Fehleradresse 0x0015be3e.
 
Error - 18.3.2013 07:06:04 | Computer Name = NPC1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich -1949509375.
 
Error - 18.3.2013 07:06:59 | Computer Name = NPC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mstsc.exe, Version 6.0.6001.18589, fehlgeschlagenes
 Modul mstscax.dll, Version 6.0.6001.18589, Fehleradresse 0x0015be3e.
 
Error - 18.3.2013 07:07:05 | Computer Name = NPC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mstsc.exe, Version 6.0.6001.18589, fehlgeschlagenes
 Modul mstscax.dll, Version 6.0.6001.18589, Fehleradresse 0x0015be3e.
 
Error - 18.3.2013 07:07:12 | Computer Name = NPC1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich -1949509375.
 
Error - 18.3.2013 07:07:17 | Computer Name = NPC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mstsc.exe, Version 6.0.6001.18589, fehlgeschlagenes
 Modul mstscax.dll, Version 6.0.6001.18589, Fehleradresse 0x0015be3e.
 
Error - 18.3.2013 07:07:22 | Computer Name = NPC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mstsc.exe, Version 6.0.6001.18589, fehlgeschlagenes
 Modul mstscax.dll, Version 6.0.6001.18589, Fehleradresse 0x0015be3e.
 
Error - 18.3.2013 07:07:24 | Computer Name = NPC1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich -1949509375.
 
Error - 18.3.2013 08:10:42 | Computer Name = NPC1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.5510.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 18.3.2013 08:10:54 | Computer Name = NPC1 | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 54869149.
 
[ System Events ]
Error - 19.2.2013 04:46:03 | Computer Name = NPC1 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\D gefunden.
 
 
< End of report >

--- --- ---

[/CODE]

cosinus · 18.03.2013, 14:45

Zitat:

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = G***Domain.local

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

stefgig12 · 18.03.2013, 14:47

Kann ich bitte trotzdem support bekommen?

cosinus · 18.03.2013, 14:49

Was bitte hast du an den Hinweisen nicht verstanden? Dein Arbeitgeber sollte eigentlich groß genug sein und hat auch wohl eine EDV-Abteilung - die ist für deisen Unternehmensrechner verantwortlich

stefgig12 · 18.03.2013, 14:55

Ich habe es schon verstanden.

Es steht aber drin das ihr eine Ausnahme macht wenn ich es gleich am Anfang geschrieben hätte.
Es tut mir leid das ich es nicht gleich geschrieben habe.

Wir sind kein großes Unternehmen und ich bin eigentlich der erste AP wenn was nicht geht...

cosinus · 18.03.2013, 14:59

Zitat:

Es tut mir leid das ich es nicht gleich geschrieben habe.

Ähm

wo hast du das denn erwähnt, wenn ich mich richtig entsinne bin ich da selbst durch die Logs drauf gekommen

Habt Ihr tatsächlich keine eigene IT?

Auf der Homepage deiner Firma war ich eben auch, ich hatte den Eindruck diese Firma ist größer als du schilderst....

stefgig12 · 18.03.2013, 15:17

wenn du auf unserer Homepage warst siehst du ja wer die IT macht und das bin ich.

Wir haben ca 16 PCs

cosinus · 18.03.2013, 15:23

Ich hab die Homepage nur kurz überflogen, abgesehen davon kann das ja nicht meine Aufgabe sein zu recherchieren wie groß oder klein die Firma ist bei der du arbeitest

Zitat:

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Gelesen und verstanden?

stefgig12 · 18.03.2013, 15:45

Ich habe es gelesen und verstanden.

Ich möchte erstmal ohne neu aufsetzten probieren...

cosinus · 18.03.2013, 15:49

Rootkitscan mit GMER

Bitte lade dir

GMER herunter: (Dateiname zufällig)

Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
Entferne rechts den Haken bei: IAT/EAT und Show All
Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

Probiere alternativ den abgesicherten Modus.
Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

stefgig12 · 18.03.2013, 16:15

Gmer Programm ist während des scans abgestürzt

Soll ich noch einen Versuch starten?

18.03.2013, 14:49	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Hotel.de Trojaner Was bitte hast du an den Hinweisen nicht verstanden? Dein Arbeitgeber sollte eigentlich groß genug sein und hat auch wohl eine EDV-Abteilung - die ist für deisen Unternehmensrechner verantwortlich __________________ Logfiles bitte immer in CODE-Tags posten

Hotel.de Trojaner

Log-Analyse und Auswertung: Hotel.de Trojaner