|
Plagegeister aller Art und deren Bekämpfung: Zwei Plagegeister entdeckt: ShellChanger und AgentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.07.2013, 15:01 | #1 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo zusammen, mein Antivir hat zwei Schädlinge entdeckt: - TR/ShellChanger.aaa - JS/Agent.480412 Da ich beim ersten googlen etwas von "nur neu aufsetzen hilft" gelesen habe und ich das - wenn möglich - vermeiden möchte, wende ich mich an euch. Ich wäre dankbar, wenn ihr euch das Thema mal anschauen und euer Urteil abgeben würdet. Ich habe die 3 Schritte (defogger/OTL/Gmer), anbei die Logs: OTL.txt: OTL logfile created on: 20.07.2013 11:46:51 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Tina\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1015,37 Mb Total Physical Memory | 638,01 Mb Available Physical Memory | 62,83% Memory free 2,39 Gb Paging File | 2,04 Gb Available in Paging File | 85,63% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 16,74 Gb Free Space | 57,15% Space Free | Partition Type: NTFS Drive D: | 272,90 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive E: | 45,15 Gb Total Space | 42,78 Gb Free Space | 94,76% Space Free | Partition Type: NTFS Computer Name: LAPTOPMAMA | User Name: Tina | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Tina\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Canon\IJPLM\ijplmsvc.exe () PRC - C:\Programme\ControlCenter4\BrCcUxSys.exe (Brother Industries, Ltd.) PRC - C:\Programme\ControlCenter4\BrCtrlCntr.exe (Brother Industries, Ltd.) PRC - C:\Programme\Browny02\Brother\BrStMonW.exe (Brother Industries, Ltd.) PRC - C:\Programme\Browny02\BrYNSvc.exe (Brother Industries, Ltd.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.) PRC - C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc) ========== Modules (No Company Name) ========== MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Programme\Canon\IJPLM\ijplmsvc.exe () MOD - C:\Programme\StarMoney 8.0 S-Edition\ouservice\patchw32.dll () MOD - C:\Programme\Brother\BrUtilities\BrLogAPI.dll () MOD - C:\Programme\Adobe Reader 8.0\Reader\ViewerPS.dll () MOD - C:\Programme\Dell\QuickSet\dadkeyb.dll () ========== Services (SafeList) ========== SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (StarMoney 8.0 OnlineUpdate) -- C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH) SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (IJPLMSVC) -- C:\Programme\Canon\IJPLM\ijplmsvc.exe () SRV - (BrYNSvc) -- C:\Programme\Browny02\BrYNSvc.exe (Brother Industries, Ltd.) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (BrUsbSIb) -- C:\WINDOWS\system32\drivers\BrUsbSib.sys (Brother Industries Ltd.) DRV - (BrSerIb) -- C:\WINDOWS\system32\drivers\BrSerIb.sys (Brother Industries Ltd.) DRV - (LUsbFilt) -- C:\WINDOWS\system32\drivers\LUsbFilt.sys (Logitech, Inc.) DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.) DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.) DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.) DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.) DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.) DRV - (s125mgmt) -- C:\WINDOWS\system32\drivers\s125mgmt.sys (MCCI Corporation) DRV - (s125obex) -- C:\WINDOWS\system32\drivers\s125obex.sys (MCCI Corporation) DRV - (s125mdm) -- C:\WINDOWS\system32\drivers\s125mdm.sys (MCCI Corporation) DRV - (s125mdfl) -- C:\WINDOWS\system32\drivers\s125mdfl.sys (MCCI Corporation) DRV - (s125bus) -- C:\WINDOWS\system32\drivers\s125bus.sys (MCCI Corporation) DRV - (s116unic) -- C:\WINDOWS\system32\drivers\s116unic.sys (MCCI Corporation) DRV - (s116obex) -- C:\WINDOWS\system32\drivers\s116obex.sys (MCCI Corporation) DRV - (s116nd5) -- C:\WINDOWS\system32\drivers\s116nd5.sys (MCCI Corporation) DRV - (s116mgmt) -- C:\WINDOWS\system32\drivers\s116mgmt.sys (MCCI Corporation) DRV - (s116mdm) -- C:\WINDOWS\system32\drivers\s116mdm.sys (MCCI Corporation) DRV - (s116mdfl) -- C:\WINDOWS\system32\drivers\s116mdfl.sys (MCCI Corporation) DRV - (s116bus) -- C:\WINDOWS\system32\drivers\s116bus.sys (MCCI Corporation) DRV - (APPDRV) -- C:\WINDOWS\system32\drivers\APPDRV.SYS (Dell Inc) DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (CyUsbNT) -- C:\WINDOWS\system32\drivers\CyUsbNT.sys (Cypress Semiconductor) DRV - (w29n51) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-IDW&o=APN10023&src=crm&q={searchTerms}&locale=&apn_ptnrs=LL&apn_dtid=YYYYYYYYDE&apn_uid=367381ea-e639-49d7-b75a-e3460eac9ecd&apn_sauid=9F7F1CD0-2433-46D3-BBF2-BE2AE0704CE3 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-IDW&o=APN10023&src=crm&q={searchTerms}&locale=&apn_ptnrs=LL&apn_dtid=YYYYYYYYDE&apn_uid=367381ea-e639-49d7-b75a-e3460eac9ecd&apn_sauid=9F7F1CD0-2433-46D3-BBF2-BE2AE0704CE3 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-839522115-2147040963-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKU\S-1-5-21-839522115-2147040963-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "https://www.stuempflhof-shop.de/" FF - prefs.js..extensions.enabledAddons: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledAddons: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20120515 FF - prefs.js..extensions.enabledAddons: {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}:1.0 FF - prefs.js..extensions.enabledAddons: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_39: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\12001.041 [2012.07.14 22:34:30 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.29 11:58:04 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.10.04 09:19:25 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\12001.041 [2012.07.14 22:34:30 | 000,000,000 | ---D | M] [2009.05.21 10:40:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Extensions [2009.05.21 10:40:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2012.05.22 01:14:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\extensions [2011.03.27 15:56:05 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.05.22 01:14:43 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2009.05.21 10:40:10 | 000,000,000 | ---D | M] (Move Media Player) -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\extensions\moveplayer@movenetworks.com [2008.05.30 07:35:42 | 000,002,921 | ---- | M] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\daemon-search.xml [2012.07.09 22:48:39 | 000,002,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\suche.xml [2008.11.25 22:49:30 | 000,001,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\wikipedia-eng.xml [2013.02.19 10:01:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.10.04 09:19:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2013.02.19 10:02:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} [2012.10.04 09:19:10 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.07.14 22:34:30 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\WINDOWS\SYSTEM32\12001.041 [2012.05.29 11:58:04 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.15 20:03:09 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.15 20:03:09 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.04.15 20:03:09 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.04.15 20:03:09 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.15 20:03:09 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.15 20:03:09 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-839522115-2147040963-725345543-1004\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BrStsMon00] C:\Programme\Browny02\Brother\BrStMonW.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ControlCenter4] C:\Programme\ControlCenter4\BrCcBoot.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc) O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 8901 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-839522115-2147040963-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O15 - HKU\S-1-5-21-839522115-2147040963-725345543-1004\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKU\S-1-5-21-839522115-2147040963-725345543-1004\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4253854A-1A8D-439F-9AAC-A997BC8A76A0}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Tina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Tina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.05.29 20:06:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2011.03.05 18:02:06 | 000,000,028 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{09cc3576-5267-11dd-ba9b-0015c56979e3}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe O33 - MountPoints2\{4092f48a-2e0a-11dd-9848-00166fb40347}\Shell - "" = AutoRun O33 - MountPoints2\{4092f48a-2e0a-11dd-9848-00166fb40347}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{4092f48a-2e0a-11dd-9848-00166fb40347}\Shell\AutoRun\command - "" = H:\SETUP.EXE O33 - MountPoints2\{4092f48a-2e0a-11dd-9848-00166fb40347}\Shell\configure\command - "" = H:\SETUP.EXE O33 - MountPoints2\{4092f48a-2e0a-11dd-9848-00166fb40347}\Shell\install\command - "" = H:\SETUP.EXE O33 - MountPoints2\{6c72a879-5663-11dd-baa9-0015c56979e3}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.07.20 11:25:42 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tina\Desktop\OTL.exe [2013.07.20 10:29:35 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Tina\Recent [2013.07.20 09:59:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 8.0 [2013.07.20 09:59:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\StarMoney 8.0 S-Edition [2013.07.20 09:55:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome [2013.07.20 09:51:48 | 000,000,000 | ---D | C] -- C:\Programme\Business Objects [2013.07.20 09:49:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\StarFinanz [2013.07.20 09:49:08 | 000,000,000 | ---D | C] -- C:\Programme\StarMoney 8.0 S-Edition [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.07.20 11:50:00 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2013.07.20 11:39:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2013.07.20 11:39:00 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2013.07.20 11:32:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.07.20 11:32:42 | 000,268,600 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2013.07.20 11:31:14 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Tina\defogger_reenable [2013.07.20 11:25:43 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tina\Desktop\OTL.exe [2013.07.20 09:59:36 | 000,001,746 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\StarMoney 8.0 S-Edition.lnk [2013.07.20 09:21:34 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.07.14 19:36:09 | 000,471,420 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.07.14 19:36:09 | 000,451,570 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.07.14 19:36:09 | 000,089,936 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.07.14 19:36:09 | 000,075,492 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.06.30 00:46:12 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\skype.ini [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.07.20 11:30:33 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Tina\defogger_reenable [2013.07.20 09:59:36 | 000,001,746 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\StarMoney 8.0 S-Edition.lnk [2013.07.20 09:46:08 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2013.07.20 09:46:06 | 000,001,082 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2013.06.30 00:37:26 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\skype.ini [2013.02.28 23:45:47 | 000,002,746 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\906753.js [2013.02.28 23:44:45 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\906753.pad [2012.12.08 10:38:36 | 000,000,227 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2012.12.08 10:38:36 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2012.12.08 10:37:41 | 000,003,303 | ---- | C] () -- C:\WINDOWS\BRPARAM.INI [2012.12.08 10:37:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL [2012.12.08 10:37:16 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI [2012.12.08 10:36:27 | 000,000,091 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini [2012.12.08 10:36:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat [2012.11.04 23:29:22 | 000,050,163 | ---- | C] () -- C:\Dokumente und Einstellungen\Tina\ms.exe [2012.02.19 00:01:27 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.02.18 23:58:26 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.10.14 22:28:01 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2008.10.10 19:08:27 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2008.10.08 22:07:57 | 000,000,056 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsidmv.dat [2008.06.04 09:48:34 | 000,065,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Tina\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2004.08.04 12:00:00 | 000,070,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\skype.dat ========== ZeroAccess Check ========== [2008.06.04 00:23:23 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2013.05.29 09:41:25 | 001,510,400 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.09.29 21:14:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonEPP [2012.09.29 21:14:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEPPEX2 [2012.12.01 23:20:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM [2012.09.29 21:39:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSDU [2012.09.29 21:14:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSolutionMenuEX [2012.09.29 20:29:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJWSpt [2012.12.08 10:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ControlCenter4 [2009.03.17 19:03:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2012.12.17 21:07:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2008.06.12 20:40:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2008.10.10 19:08:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft [2013.07.20 09:59:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 8.0 [2009.05.21 10:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2008.07.15 15:50:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2011.08.09 19:44:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\2050953 [2012.02.18 23:59:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\AskToolbar [2012.09.29 21:14:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Canon [2012.12.08 10:43:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\ControlCenter4 [2009.05.21 10:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\DAEMON Tools [2012.04.14 20:56:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\DAEMON Tools Lite [2009.05.21 10:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\DAEMON Tools Pro [2011.12.13 21:56:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Puomid [2012.03.20 10:17:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\pyljwfrrt [2011.12.13 22:32:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Syby ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 24 bytes -> C:\WINDOWS:5F2880A7D99BCA53 @Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 < End of report > 2. EXTRAS.txt: OTL Extras logfile created on: 20.07.2013 11:46:51 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Tina\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1015,37 Mb Total Physical Memory | 638,01 Mb Available Physical Memory | 62,83% Memory free 2,39 Gb Paging File | 2,04 Gb Available in Paging File | 85,63% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 16,74 Gb Free Space | 57,15% Space Free | Partition Type: NTFS Drive D: | 272,90 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive E: | 45,15 Gb Total Space | 42,78 Gb Free Space | 94,76% Space Free | Partition Type: NTFS Computer Name: LAPTOPMAMA | User Name: Tina | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.) .url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l [HKEY_USERS\S-1-5-21-839522115-2147040963-725345543-1004\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.) https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.) InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*isabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation) "C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 "C:\Programme\Microsoft Office\Office12\GROOVE.EXE" = C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*isabled:Microsoft Office Groove -- (Microsoft Corporation) "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*isabled:Microsoft Office OneNote -- (Microsoft Corporation) "C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\_ISTMP1.DIR\_ISTMP0.DIR\igd_finder.exe" = C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\_ISTMP1.DIR\_ISTMP0.DIR\igd_finder.exe:*isabled:igd_finder "C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\_ISTMP1.DIR\_INS5576._MP" = C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\_ISTMP1.DIR\_INS5576._MP:*isabled:InstallShield Engine "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "D:\fsetup.exe" = D:\fsetup.exe:*:Enabled:AVM FSetup Application "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser "{1ED9C6A0-AEF8-44B4-9791-482A7BED12F4}" = StarMoney 8.0 S-Edition "{1FCBD504-AB7D-4757-9A14-850348384B08}" = StarMoney "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java(TM) 6 Update 39 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}" = ABBYY FineReader OCR Engine für ScanWizard "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{43602F34-1AA3-44FB-AEB2-D08C2C73743F}" = Paint.NET v3.36 "{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{74224F8D-4A17-4816-9EDB-7BB854DE532C}" = NVIDIA PhysX v8.04.25 "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{900A92BA-19EF-4A34-86CF-7B6C85BDD971}" = VC_MergeModuleToMSI "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9B502755-0370-4DDD-BA68-D87AA4CE1A22}" = Panorama Viewer "{A1B36B88-AF90-43A3-8906-6DBEE89B4FBD}" = Brother MFL-Pro Suite MFC-J825DW "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.5 - Deutsch "{AC76BA86-7AD7-1031-7B44-A81300000003}_814" = KB408682 "{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8 "{B08D262E-D902-11D5-9C28-0080C85A0C2D}" = ScanWizard 5 "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C5074CC4-0E26-4716-A307-960272A90040}" = QuickSet "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{DB75941E-30C4-4D97-B000-D17C764B998C}" = Brother BRAdmin Light 1.20.0001 "{E2F2B987-F2BC-4969-95F2-92099486B811}" = StarMoney "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "AnyDVD" = AnyDVD "Avira AntiVir Desktop" = Avira Free Antivirus "AVMFBox" = AVM FRITZ!Box Dokumentation "AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss "CANONIJPLM100" = Canon Inkjet Printer/Scanner/Fax Extended Survey Program "CCleaner" = CCleaner "CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F100C3" = Conexant HDA D110 MDC V.92 Modem "ENTERPRISE" = Microsoft Office Enterprise 2007 "Google Chrome" = Google Chrome "HijackThis" = HijackThis 2.0.2 "InterActual Player" = InterActual Player "IrfanView" = IrfanView (remove only) "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero BurnRights!UninstallKey" = Nero BurnRights "NeroMultiInstaller!UninstallKey" = Nero Suite "Picasa 3" = Picasa 3 "ShockwaveFlash" = Adobe Flash Player 9 ActiveX "VLC media player" = VLC media player 0.9.9 "Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{79A765E1-C399-405B-85AF-466F52E918B0}" = Avira SearchFree Toolbar plus Web Protection Updater ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{79A765E1-C399-405B-85AF-466F52E918B0}" = Avira SearchFree Toolbar plus Web Protection Updater ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-839522115-2147040963-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{79A765E1-C399-405B-85AF-466F52E918B0}" = Avira SearchFree Toolbar plus Web Protection Updater ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 20.03.2013 10:40:26 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:26.046]: [00002596]: BrStiIf: GetDeviceList Failed! pStiInfo = 0x0.. Error - 20.03.2013 10:40:26 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:26.062]: [00002596]: ##### Fatal ERROR!! Create STI-device failed! ##### Error - 20.03.2013 10:40:26 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:26.062]: [00002596]: Initialize TwdsMain Class failed! Error - 20.03.2013 10:40:27 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:27.265]: [00002596]: BrStiIf: GetDeviceList Failed! pStiInfo = 0x0.. Error - 20.03.2013 10:40:27 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:27.281]: [00002596]: ##### Fatal ERROR!! Create STI-device failed! ##### Error - 20.03.2013 10:40:27 | Computer Name = LAPTOPMAMA | Source = Brother BrLog | ID = 1001 Description = TWN BrtTWN: [2013/03/20 15:40:27.281]: [00002596]: Initialize TwdsMain Class failed! Error - 14.07.2013 13:22:35 | Computer Name = LAPTOPMAMA | Source = System.ServiceModel.Install 3.0.0.0 | ID = 0 Description = WMI classes are not installed. Error - 20.07.2013 04:02:17 | Computer Name = LAPTOPMAMA | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 20.07.2013 04:02:17 | Computer Name = LAPTOPMAMA | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 20.07.2013 05:38:05 | Computer Name = LAPTOPMAMA | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 12.0.0.4493, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ OSession Events ] Error - 07.12.2008 17:37:57 | Computer Name = BLUBB | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 17021 seconds with 780 seconds of active time. This session ended with a crash. [ System Events ] Error - 20.07.2013 05:35:31 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:36:38 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:37:08 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:37:38 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:38:08 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:38:38 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:39:08 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:39:38 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:40:08 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 20.07.2013 05:40:38 | Computer Name = LAPTOPMAMA | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. < End of report > 3. Gmer.txt GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-07-20 15:45:56 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Hitachi_HTS541080G9AT00 rev.MB4OA61A 74,53GB Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\Tina\LOKALE~1\Temp\uwtdqkow.sys ---- System - GMER 2.1 ---- SSDT F7BCA72C ZwClose SSDT F7BCA6E6 ZwCreateKey SSDT F7BCA736 ZwCreateSection SSDT F7BCA6DC ZwCreateThread SSDT F7BCA6EB ZwDeleteKey SSDT F7BCA6F5 ZwDeleteValueKey SSDT F7BCA727 ZwDuplicateObject SSDT F7BCA6FA ZwLoadKey SSDT F7BCA6C8 ZwOpenProcess SSDT F7BCA6CD ZwOpenThread SSDT F7BCA74F ZwQueryValueKey SSDT F7BCA704 ZwReplaceKey SSDT F7BCA740 ZwRequestWaitReplyPort SSDT F7BCA6FF ZwRestoreKey SSDT F7BCA73B ZwSetContextThread SSDT F7BCA745 ZwSetSecurityObject SSDT F7BCA6F0 ZwSetValueKey SSDT F7BCA74A ZwSystemDebugControl SSDT F7BCA6D7 ZwTerminateProcess ---- Devices - GMER 2.1 ---- Device \FileSystem\Fastfat \Fat A9392D20 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x81 0xA1 0xF4 0x03 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xDF 0x46 0xE8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0x48 0x4B 0xAE ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x74 0x6C 0xBF 0xEF ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x81 0xA1 0xF4 0x03 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xDF 0x46 0xE8 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0x48 0x4B 0xAE ... ---- EOF - GMER 2.1 ---- Beste Grüße abcMartina |
20.07.2013, 15:51 | #2 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und AgentMein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen. |
20.07.2013, 15:52 | #3 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus,
__________________Avira kann ich dir nicht mehr empfehlen: Lesestoff: Warum wir Avira nicht mehr empfehlen Avira liefert seit einiger Zeit mit der Standardinstallation die Ask Toolbar mit aus. Diese Toolbar ist Voraussetzung dafür, dass der Webguard zuverlässig funktioniert. Die Ask Toolbar ist dafür bekannt, dass sie das Surfverhalten des Benutzers ausspioniert, um damit in letzter Konsequenz Geld zu verdienen. Daher wird von uns auf diesem Board als "schädlich" eingestuft. Mehr Informationen. Eine Sicherheitsfirma, die dem Benutzer praktisch ungefragt schädliche Software "unterjubelt", scheidet für uns daher aus. Wir empfehlen daher allen Nutzern von Avira aufgrund dieser Geschäftspraktik, der teilweise äußerst schlechten Erkennungsrate und der überaus nervtötenden Werbung Avira zu deinstallieren und auf ein alternatives Produkt auszuweichen. Solltest du dich zu einem Wechsel entscheiden, empfehlen wir dir nach der Deinstallation mit dem Avira-Cleaner alle Reste zu entfernen. So geht es los: Scan mit Combofix
Geändert von M-K-D-B (20.07.2013 um 15:59 Uhr) |
20.07.2013, 17:45 | #4 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo Matthias, vielen Dank für deine Hilfe! Interessanter Hinweis mit Antivir, das wusste ich noch nicht. Gibt es denn eine (evtl. kostenlose) Alternative? Combolog habe ich entsprechend durchgeführt, anbei das Ergebnis: Combofix Logfile: Code:
ATTFilter ComboFix 13-07-20.02 - Tina 20.07.2013 18:13:33.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.677 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Tina\Desktop\ComboFix.exe AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ADS - WINDOWS: deleted 24 bytes in 1 streams. . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\All Users\Anwendungsdaten\906753.js c:\dokumente und einstellungen\All Users\Anwendungsdaten\906753.pad c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP c:\dokumente und einstellungen\Tina\Anwendungsdaten\skype.dat c:\dokumente und einstellungen\Tina\Anwendungsdaten\skype.ini c:\dokumente und einstellungen\Tina\ms.exe C:\Recycle.Bin c:\windows\IsUn0407.exe c:\windows\system32\kock c:\windows\system32\SET38.tmp c:\windows\system32\SET3D.tmp c:\windows\system32\xmldm . . ((((((((((((((((((((((( Dateien erstellt von 2013-06-20 bis 2013-07-20 )))))))))))))))))))))))))))))) . . 2013-07-20 07:59 . 2013-07-20 07:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\StarMoney 8.0 2013-07-20 07:51 . 2013-07-20 07:51 -------- d-----w- c:\programme\Business Objects 2013-07-20 07:49 . 2013-07-20 07:49 -------- d-----w- c:\programme\Gemeinsame Dateien\StarFinanz 2013-07-20 07:49 . 2013-07-20 08:12 -------- d-----w- c:\programme\StarMoney 8.0 S-Edition . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-06-05 09:08 . 2004-08-04 10:00 1876864 ----a-w- c:\windows\system32\win32k.sys 2013-06-04 07:22 . 2004-08-04 10:00 563712 ----a-w- c:\windows\system32\qedit.dll 2013-05-29 07:41 . 2006-03-04 03:34 674304 ----a-w- c:\windows\system32\wininet.dll 2013-05-29 07:41 . 2004-08-04 10:00 61952 ----a-w- c:\windows\system32\tdc.ocx 2013-05-29 07:41 . 2004-08-04 10:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2013-05-29 07:40 . 2004-08-04 10:00 371200 ----a-w- c:\windows\system32\html.iec 2013-05-08 09:58 . 2006-10-18 19:47 1543680 ------w- c:\windows\system32\wmvdecod.dll 2013-05-03 05:39 . 2005-03-30 17:36 2195840 ----a-w- c:\windows\system32\ntoskrnl.exe 2013-05-03 05:39 . 2005-03-30 17:36 2072448 ----a-w- c:\windows\system32\ntkrnlpa.exe 2012-05-29 09:58 . 2011-12-15 22:09 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688] "Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-02-20 1191936] "SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504] "Adobe Reader Speed Launcher"="c:\programme\Adobe Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "ControlCenter4"="c:\programme\ControlCenter4\BrCcBoot.exe" [2011-04-20 139264] "BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-12-23 2629632] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-07-01 345144] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-10-15 00:04 39792 ----a-w- c:\programme\Adobe Reader 8.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater] 2012-01-04 19:20 1391272 ----a-w- c:\programme\Ask.com\Updater\Updater.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0] 2007-11-19 17:33 1015808 ----a-w- c:\programme\Brother\ControlCenter2\brctrcen.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2005-04-14 14:56 1957888 ------w- c:\programme\Nero\Nero BackItUp\NBJ.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt] 2005-01-26 16:02 49152 ------w- c:\programme\Brother\Brmfl05a\BrStDvPt.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "ose"=3 (0x3) "odserv"=3 (0x3) "Microsoft Office Groove Audit Service"=3 (0x3) "gusvc"=3 (0x3) "Brother XP spl Service"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.12.2012 21:48 37352] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.12.2012 21:48 84024] R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [17.12.2012 21:48 589368] R3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [08.12.2012 10:36 245760] S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [20.07.2013 10:02 699680] S3 BrSerIb;Brother Serial Interface Driver(WDM);c:\windows\system32\drivers\BrSerIb.sys [08.12.2012 10:37 71424] S3 BrUsbSIb;Brother Serial USB Driver(WDM);c:\windows\system32\drivers\BrUsbSib.sys [08.12.2012 10:37 11520] S3 CyUsbNT;Cypress Manufacturing Driver;c:\windows\system32\drivers\CyUsbNT.sys [16.02.2005 07:43 28800] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.05.2008 07:31 717296] . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}] 2013-07-20 07:51 1173456 ----a-w- c:\programme\Google\Chrome\Application\28.0.1500.72\Installer\chrmstp.exe . Inhalt des "geplante Tasks" Ordners . 2013-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2013-07-20 07:45] . 2013-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2013-07-20 07:45] . 2013-07-20 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job - c:\programme\Ask.com\UpdateTask.exe [2012-01-04 19:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll FF - ProfilePath - c:\dokumente und einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\ FF - prefs.js: browser.startup.homepage - hxxps://www.stuempflhof-shop.de/ FF - ExtSQL: !HIDDEN! 2010-11-09 21:15; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - ExtSQL: !HIDDEN! 2012-07-15 15:57; {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}; c:\windows\system32\12001.041 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKLM-Explorer_Run-8901 - c:\dokume~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd MSConfigStartUp-xooq - c:\dokumente und einstellungen\Tina\Anwendungsdaten\Syby\xooq.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2013-07-20 18:26 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'lsass.exe'(696) c:\programme\Avira\AntiVir Desktop\avsda.dll . Zeit der Fertigstellung: 2013-07-20 18:31:36 ComboFix-quarantined-files.txt 2013-07-20 16:31 . Vor Suchlauf: 8 Verzeichnis(se), 18.073.595.904 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 18.483.453.952 Bytes frei . WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect . - - End Of File - - 527A6AD6188CB1DB19C71E995F8892F4 72B8CE41AF0DE751C946802B3ED844B4 Was meinst du dazu? |
21.07.2013, 10:42 | #5 | |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus, Zitat:
Ein Großteil der Malware hat ComboFix bereits entfernt. So geht es weiter: Schritt 1 Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 2 Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Schritt 3 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Bitte poste mit deiner nächsten Antwort
|
23.07.2013, 21:11 | #6 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo Matthias, das klingt schon mal sehr gut.. :-) Da der Laptop in meiner Heimat steht und ich selbst dort gerade nicht bin, kann es jetzt etwas länger als drei Tage dauern bis zum nächsten Post. Habe die Anweisungen weitergegeben und warte auf die Antwort von dort.. Beste Grüße und vielen vielen Dank! Martina |
24.07.2013, 18:44 | #7 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus Martina, danke für den Hinweis. Dann warte ich noch die ganze Woche auf deine nächste Rückmeldung. |
29.07.2013, 20:40 | #8 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Hallo Matthias, sorry, hat etwas länger gedauert. Habe jetzt die Rückmeldung aus der Heimat erhalten: Adw Cleaner:AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.306 - Datei am 28/07/2013 um 21:12:54 erstellt # Aktualisiert am 19/07/2013 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : Tina - LAPTOPMAMA # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\Tina\Desktop\Mama Pc Bereinigen\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\daemon-search.xml Datei Gelöscht : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job Ordner Gelöscht : C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\AskToolbar Ordner Gelöscht : C:\Dokumente und Einstellungen\Tina\Lokale Einstellungen\Anwendungsdaten\AskToolbar Ordner Gelöscht : C:\Programme\Ask.com Ordner Gelöscht : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\APN Schlüssel Gelöscht : HKCU\Software\AskToolbar Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar Schlüssel Gelöscht : HKLM\Software\APN Schlüssel Gelöscht : HKLM\Software\AskToolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC} Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2BDF3E992C0908741B7C11F4B4E0F775 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6B3BC4CF5ECE1F54BBA174C13A1AB907 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5BAE2ED018083A4C8DA86D6E3F4B024 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BEABAA33A5E68374DBF197F2A00CD011 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CB61AF52AD64B6B45930BE969F316720 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} ***** [Internet Browser] ***** -\\ Internet Explorer v6.0.2900.5512 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v12.0 (de) Datei : C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\95cisytl.default\prefs.js [OK] Die Datei ist sauber. Datei : C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\prefs.js C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\user.js ... Gelöscht ! Gelöscht : user_pref("browser.search.defaultengine", "Ask.com"); Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com"); Gelöscht : user_pref("browser.search.order.1", "Ask.com"); Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", ""); ************************* AdwCleaner[S1].txt - [5722 octets] - [28/07/2013 21:12:54] ########## EOF - C:\AdwCleaner[S1].txt - [5782 octets] ########## JRT: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 5.2.5 (07.26.2013:2) OS: Microsoft Windows XP x86 Ran by Tina on 28.07.2013 at 21:33:01,34 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\upgradecodes\f928123a039649549966d4c29d35b1c9 ~~~ Files ~~~ Folders ~~~ FireFox Emptied folder: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\mozilla\firefox\profiles\zy7n7e4l.default\minidumps [2 files] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 28.07.2013 at 21:36:05,93 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 28-07-2013 Ran by Tina (administrator) on 28-07-2013 21:58:39 Running from C:\Dokumente und Einstellungen\Tina\Desktop Microsoft Windows XP Home Edition Service Pack 3 (X86) OS Language: German Standard Internet Explorer Version 6 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe () C:\Programme\Canon\IJPLM\IJPLMSVC.EXE (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Google Inc.) C:\Programme\Google\Update\GoogleUpdate.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Dell Inc) C:\Programme\Dell\QuickSet\quickset.exe (SigmaTel, Inc.) C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (Brother Industries, Ltd.) C:\Programme\Browny02\Brother\BrStMonW.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Brother Industries, Ltd.) C:\Programme\ControlCenter4\BrCtrlCntr.exe (Brother Industries, Ltd.) C:\Programme\Browny02\BrYNSvc.exe (Brother Industries, Ltd.) C:\Programme\ControlCenter4\BrCcUxSys.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [igfxhkcmd] - C:\WINDOWS\system32\hkcmd.exe [77824 2005-10-14] (Intel Corporation) HKLM\...\Run: [igfxpers] - C:\WINDOWS\system32\igfxpers.exe [114688 2005-10-14] (Intel Corporation) HKLM\...\Run: [Dell QuickSet] - C:\Programme\Dell\QuickSet\quickset.exe [1191936 2007-02-20] (Dell Inc) HKLM\...\Run: [SigmatelSysTrayApp] - %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe [x] HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Programme\Adobe Reader 8.0\Reader\Reader_sl.exe [39792 2008-10-15] (Adobe Systems Incorporated) HKLM\...\Run: [ControlCenter4] - C:\Programme\ControlCenter4\BrCcBoot.exe [139264 2011-04-20] (Brother Industries, Ltd.) HKLM\...\Run: [BrStsMon00] - C:\Programme\Browny02\Brother\BrStMonW.exe [2629632 2010-12-23] (Brother Industries, Ltd.) HKLM\...\Run: [avgnt] - C:\Programme\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-01] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [SunJavaUpdateSched] - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [254896 2012-09-17] (Sun Microsystems, Inc.) HKLM\...\Policies\Explorer\Run: [8901] C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd [x] SSODL: UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll (Microsoft Corporation) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm StartMenuInternet: IEXPLORE.EXE - "C:\Programme\Internet Explorer\iexplore.exe" SearchScopes: HKLM - DefaultScope value is missing. BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation) BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation) Handler: ipp - No CLSID Value - Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp - No CLSID Value - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation) Winsock: Catalog9 01 C:\Programme\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 02 C:\Programme\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 22 C:\Programme\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG) FireFox: ======== FF ProfilePath: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default FF Homepage: https://www.stuempflhof-shop.de/ FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll () FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.) FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 - C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF Plugin: @java.com/DTPlugin,version=1.6.0_39 - C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKCU: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF SearchPlugin: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\suche.xml FF SearchPlugin: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\wikipedia-eng.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml FF Extension: No Name - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com FF Extension: No Name - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} FF Extension: Move Media Player - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\moveplayer@movenetworks.com FF Extension: Microsoft .NET Framework Assistant - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} FF Extension: WOT - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} FF Extension: Default - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\12001.041 FF Extension: Java Link Helper - C:\WINDOWS\system32\12001.041 FF HKLM\...\Firefox\Extensions: [jqs@sun.com] C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\12001.041 FF Extension: Java Link Helper - C:\WINDOWS\system32\12001.041 ========================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [589368 2013-07-01] (Avira Operations GmbH & Co. KG) S4 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd) R3 BrYNSvc; C:\Programme\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2013-07-20] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2013-07-20] (Google Inc.) S4 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [136120 2008-11-20] (Google) R2 IJPLMSVC; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [140456 2011-09-06] () S4 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [65824 2006-10-27] (Microsoft Corporation) S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [129976 2012-05-29] (Mozilla Foundation) S4 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [441136 2006-10-26] (Microsoft Corporation) S4 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) S2 StarMoney 8.0 OnlineUpdate; C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH) S4 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) S3 AppMgmt; %SystemRoot%\System32\appmgmts.dll [x] R2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x] ==================== Drivers (Whitelisted) ==================== R3 AnyDVD; C:\Windows\System32\Drivers\AnyDVD.sys [99648 2008-09-20] (SlySoft, Inc.) R1 APPDRV; C:\Windows\SYSTEM32\DRIVERS\APPDRV.SYS [16128 2005-08-12] (Dell Inc) R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-03] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-03] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-03] (Avira Operations GmbH & Co. KG) S3 BrScnUsb; C:\Windows\System32\Drivers\BrScnUsb.sys [15295 2004-10-15] (Brother Industries Ltd.) S3 CyUsbNT; C:\Windows\System32\Drivers\CyUsbNT.sys [28800 2005-02-16] (Cypress Semiconductor) R1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [24392 2008-07-21] (Elaborate Bytes AG) R3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-13] (Windows (R) Server 2003 DDK provider) R3 HSFHWAZL; C:\Windows\System32\DRIVERS\HSFHWAZL.sys [201600 2005-07-22] (Conexant Systems, Inc.) R3 HSF_DPV; C:\Windows\System32\DRIVERS\HSF_DPV.sys [1035008 2005-07-22] (Conexant Systems, Inc.) R3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [1302812 2005-10-14] (Intel Corporation) S3 LMouFilt; C:\Windows\System32\DRIVERS\LMouFilt.Sys [37392 2008-12-19] (Logitech, Inc.) S3 LUsbFilt; C:\Windows\System32\Drivers\LUsbFilt.Sys [28816 2008-12-19] (Logitech, Inc.) S3 s116bus; C:\Windows\System32\DRIVERS\s116bus.sys [83336 2007-04-03] (MCCI Corporation) S3 s116mdfl; C:\Windows\System32\DRIVERS\s116mdfl.sys [15112 2007-04-03] (MCCI Corporation) S3 s116mdm; C:\Windows\System32\DRIVERS\s116mdm.sys [108680 2007-04-03] (MCCI Corporation) S3 s116mgmt; C:\Windows\System32\DRIVERS\s116mgmt.sys [100488 2007-04-03] (MCCI Corporation) S3 s116nd5; C:\Windows\System32\DRIVERS\s116nd5.sys [23176 2007-04-03] (MCCI Corporation) S3 s116obex; C:\Windows\System32\DRIVERS\s116obex.sys [98696 2007-04-03] (MCCI Corporation) S3 s116unic; C:\Windows\System32\DRIVERS\s116unic.sys [99080 2007-04-03] (MCCI Corporation) S3 s125bus; C:\Windows\System32\DRIVERS\s125bus.sys [83336 2007-04-24] (MCCI Corporation) S3 s125mdfl; C:\Windows\System32\DRIVERS\s125mdfl.sys [15112 2007-04-24] (MCCI Corporation) S3 s125mdm; C:\Windows\System32\DRIVERS\s125mdm.sys [108680 2007-04-24] (MCCI Corporation) S3 s125mgmt; C:\Windows\System32\DRIVERS\s125mgmt.sys [100488 2007-04-24] (MCCI Corporation) S3 s125obex; C:\Windows\System32\DRIVERS\s125obex.sys [98696 2007-04-24] (MCCI Corporation) S4 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2008-05-30] (Duplex Secure Ltd.) R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH) R3 STHDA; C:\Windows\System32\drivers\sthda.sys [1222840 2007-05-10] (SigmaTel, Inc.) S3 w29n51; C:\Windows\System32\DRIVERS\w29n51.sys [3210496 2004-10-21] (Intel® Corporation) S3 catchme; \??\C:\DOKUME~1\Tina\LOKALE~1\Temp\catchme.sys [x] U3 TlntSvr; ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-07-28 21:58 - 2013-07-28 21:58 - 00000000 ____D C:\FRST 2013-07-28 21:57 - 2013-07-28 14:10 - 01221130 _____ (Farbar) C:\Dokumente und Einstellungen\Tina\Desktop\FRST.exe 2013-07-28 21:36 - 2013-07-28 21:36 - 00000864 _____ C:\Dokumente und Einstellungen\Tina\Desktop\JRT.txt 2013-07-28 21:32 - 2013-07-28 21:32 - 00000000 ____D C:\WINDOWS\ERUNT 2013-07-28 21:12 - 2013-07-28 21:13 - 00005851 _____ C:\AdwCleaner[S1].txt 2013-07-20 18:31 - 2013-07-20 18:31 - 00009740 _____ C:\ComboFix.txt 2013-07-20 18:09 - 2013-07-20 18:09 - 00000000 _RSHD C:\cmdcons 2013-07-20 18:09 - 2012-02-27 20:56 - 00000211 _____ C:\Boot.bak 2013-07-20 18:09 - 2004-08-03 23:00 - 00262448 __RSH C:\cmldr 2013-07-20 17:47 - 2011-06-26 08:45 - 00256000 _____ C:\WINDOWS\PEV.exe 2013-07-20 17:47 - 2010-11-07 19:20 - 00208896 _____ C:\WINDOWS\MBR.exe 2013-07-20 17:47 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00098816 _____ C:\WINDOWS\sed.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00080412 _____ C:\WINDOWS\grep.exe 2013-07-20 17:47 - 2000-08-31 02:00 - 00068096 _____ C:\WINDOWS\zip.exe 2013-07-20 17:45 - 2013-07-20 18:31 - 00000000 ____D C:\Qoobox 2013-07-20 17:44 - 2013-07-20 18:28 - 00000000 ____D C:\WINDOWS\erdnt 2013-07-20 17:39 - 2013-07-20 17:40 - 05092213 ____R (Swearware) C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe 2013-07-20 15:45 - 2013-07-20 15:45 - 00006655 _____ C:\Dokumente und Einstellungen\Tina\Desktop\gmer.log 2013-07-20 11:59 - 2013-07-20 11:59 - 00377856 _____ C:\Dokumente und Einstellungen\Tina\Desktop\gmer_2.1.19163.exe 2013-07-20 11:55 - 2013-07-20 11:55 - 00041888 _____ C:\Dokumente und Einstellungen\Tina\Desktop\Extras.Txt 2013-07-20 11:54 - 2013-07-20 11:54 - 00061498 _____ C:\Dokumente und Einstellungen\Tina\Desktop\OTL.Txt 2013-07-20 11:30 - 2013-07-20 11:31 - 00000020 _____ C:\Dokumente und Einstellungen\Tina\defogger_reenable 2013-07-20 11:25 - 2013-07-20 11:25 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Tina\Desktop\OTL.exe 2013-07-20 10:44 - 2013-07-28 21:09 - 00006899 _____ C:\WINDOWS\setupapi.log 2013-07-20 09:59 - 2013-07-20 09:59 - 00001746 _____ C:\Dokumente und Einstellungen\All Users\Desktop\StarMoney 8.0 S-Edition.lnk 2013-07-20 09:51 - 2013-07-20 09:51 - 00000000 ____D C:\Programme\Business Objects 2013-07-20 09:49 - 2013-07-20 10:12 - 00000000 ____D C:\Programme\StarMoney 8.0 S-Edition 2013-07-20 09:49 - 2013-07-20 09:49 - 00000000 ____D C:\Programme\Gemeinsame Dateien\StarFinanz 2013-07-20 09:46 - 2013-07-28 21:39 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2013-07-20 09:46 - 2013-07-28 21:22 - 00001082 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$ 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834904_WM11$ 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$ 2013-07-14 19:36 - 2013-07-14 19:36 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$ 2013-07-14 19:19 - 2013-07-14 19:19 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$ ==================== One Month Modified Files and Folders ======= 2013-07-28 21:39 - 2013-07-20 09:46 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2013-07-28 21:36 - 2013-07-28 21:36 - 00000864 _____ C:\Dokumente und Einstellungen\Tina\Desktop\JRT.txt 2013-07-28 21:32 - 2013-07-28 21:32 - 00000000 ____D C:\WINDOWS\ERUNT 2013-07-28 21:22 - 2013-07-20 09:46 - 00001082 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2013-07-28 21:22 - 2008-05-29 20:05 - 01535574 _____ C:\WINDOWS\WindowsUpdate.log 2013-07-28 21:19 - 2008-05-29 20:32 - 00000159 _____ C:\WINDOWS\wiadebug.log 2013-07-28 21:19 - 2008-05-29 20:32 - 00000050 _____ C:\WINDOWS\wiaservc.log 2013-07-28 21:18 - 2008-05-29 20:10 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT 2013-07-28 21:15 - 2008-05-29 20:11 - 00000190 ___SH C:\Dokumente und Einstellungen\Tina\ntuser.ini 2013-07-28 21:15 - 2008-05-29 20:11 - 00000000 ____D C:\Dokumente und Einstellungen\Tina 2013-07-28 21:15 - 2008-05-29 20:10 - 00032508 _____ C:\WINDOWS\SchedLgU.Txt 2013-07-28 21:13 - 2013-07-28 21:12 - 00005851 _____ C:\AdwCleaner[S1].txt 2013-07-28 21:13 - 2008-05-29 20:30 - 00000000 ___RD C:\Programme 2013-07-28 21:09 - 2013-07-20 10:44 - 00006899 _____ C:\WINDOWS\setupapi.log 2013-07-28 21:04 - 2004-08-04 12:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl 2013-07-28 14:10 - 2013-07-28 21:57 - 01221130 _____ (Farbar) C:\Dokumente und Einstellungen\Tina\Desktop\FRST.exe 2013-07-21 09:30 - 2008-05-29 20:10 - 00000000 __SHD C:\Dokumente und Einstellungen\NetworkService 2013-07-20 18:31 - 2013-07-20 18:31 - 00009740 _____ C:\ComboFix.txt 2013-07-20 18:31 - 2013-07-20 17:45 - 00000000 ____D C:\Qoobox 2013-07-20 18:28 - 2013-07-20 17:44 - 00000000 ____D C:\WINDOWS\erdnt 2013-07-20 18:27 - 2004-08-04 12:00 - 00000227 _____ C:\WINDOWS\system.ini 2013-07-20 18:09 - 2013-07-20 18:09 - 00000000 _RSHD C:\cmdcons 2013-07-20 18:09 - 2008-05-29 21:28 - 00000327 __RSH C:\boot.ini 2013-07-20 17:42 - 2010-11-08 20:47 - 00000000 ____D E:\\Downloads 2013-07-20 17:40 - 2013-07-20 17:39 - 05092213 ____R (Swearware) C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe 2013-07-20 15:45 - 2013-07-20 15:45 - 00006655 _____ C:\Dokumente und Einstellungen\Tina\Desktop\gmer.log 2013-07-20 12:58 - 2008-06-04 00:22 - 00000000 ____D C:\WINDOWS\Microsoft.NET 2013-07-20 11:59 - 2013-07-20 11:59 - 00377856 _____ C:\Dokumente und Einstellungen\Tina\Desktop\gmer_2.1.19163.exe 2013-07-20 11:55 - 2013-07-20 11:55 - 00041888 _____ C:\Dokumente und Einstellungen\Tina\Desktop\Extras.Txt 2013-07-20 11:54 - 2013-07-20 11:54 - 00061498 _____ C:\Dokumente und Einstellungen\Tina\Desktop\OTL.Txt 2013-07-20 11:32 - 2008-05-29 20:29 - 00268600 _____ C:\WINDOWS\system32\FNTCACHE.DAT 2013-07-20 11:31 - 2013-07-20 11:30 - 00000020 _____ C:\Dokumente und Einstellungen\Tina\defogger_reenable 2013-07-20 11:30 - 2008-05-29 23:37 - 00000000 ____D C:\Programme\Mozilla Firefox 2013-07-20 11:25 - 2013-07-20 11:25 - 00602112 _____ (OldTimer Tools) C:\Dokumente und Einstellungen\Tina\Desktop\OTL.exe 2013-07-20 11:09 - 2012-01-24 12:26 - 00000000 ____D C:\WINDOWS\system32\NtmsData 2013-07-20 10:58 - 2008-05-29 20:45 - 00000000 __SHD E:\\System Volume Information 2013-07-20 10:34 - 2008-05-29 20:03 - 00000000 ____D C:\WINDOWS\Registration 2013-07-20 10:29 - 2008-08-24 12:33 - 00000000 ___SD C:\Dokumente und Einstellungen\Tina\UserData 2013-07-20 10:22 - 2008-06-11 00:30 - 00000000 ____D C:\Programme\PDFCreator 2013-07-20 10:12 - 2013-07-20 09:49 - 00000000 ____D C:\Programme\StarMoney 8.0 S-Edition 2013-07-20 09:59 - 2013-07-20 09:59 - 00001746 _____ C:\Dokumente und Einstellungen\All Users\Desktop\StarMoney 8.0 S-Edition.lnk 2013-07-20 09:55 - 2004-08-04 12:00 - 00007134 _____ C:\WINDOWS\system32\Drivers\etc\services 2013-07-20 09:51 - 2013-07-20 09:51 - 00000000 ____D C:\Programme\Business Objects 2013-07-20 09:51 - 2009-04-15 21:15 - 00000000 ____D C:\Programme\Google 2013-07-20 09:49 - 2013-07-20 09:49 - 00000000 ____D C:\Programme\Gemeinsame Dateien\StarFinanz 2013-07-20 09:48 - 2009-04-27 19:27 - 00000000 ____D C:\Programme\CCleaner 2013-07-20 09:46 - 2008-06-02 23:09 - 00000000 ___HD C:\Programme\InstallShield Installation Information 2013-07-16 15:24 - 2008-05-29 20:10 - 00000190 ___SH C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2013-07-16 15:24 - 2008-05-29 20:10 - 00000000 __SHD C:\Dokumente und Einstellungen\LocalService 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$ 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834904_WM11$ 2013-07-14 19:38 - 2013-07-14 19:38 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$ 2013-07-14 19:36 - 2013-07-14 19:36 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$ 2013-07-14 19:36 - 2008-05-29 20:30 - 01057192 _____ C:\WINDOWS\system32\PerfStringBackup.INI 2013-07-14 19:28 - 2008-05-30 07:51 - 75699896 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe 2013-07-14 19:20 - 2010-11-07 13:56 - 00000000 ____D C:\WINDOWS\system32\XPSViewer 2013-07-14 19:19 - 2013-07-14 19:19 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2004-08-04 12:00] - [2008-04-14 04:22] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e C:\Windows\System32\winlogon.exe [2004-08-04 12:00] - [2008-04-14 04:23] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a C:\Windows\System32\svchost.exe [2004-08-04 12:00] - [2008-04-14 04:23] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 C:\Windows\System32\services.exe [2004-08-04 12:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc C:\Windows\System32\User32.dll [2004-08-04 12:00] - [2008-04-14 04:22] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd C:\Windows\System32\userinit.exe [2004-08-04 12:00] - [2008-04-14 04:23] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 C:\Windows\System32\Drivers\volsnap.sys [2004-08-04 12:00] - [2008-04-14 03:52] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d ==================== End Of Log ============================ --- --- --- Addition:FRST Additions Logfile: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 28-07-2013 Ran by Tina at 2013-07-28 21:59:13 Running from C:\Dokumente und Einstellungen\Tina\Desktop Boot Mode: Normal ========================================================== ==================== Installed Programs ======================= ABBYY FineReader OCR Engine für ScanWizard Adobe Flash Player 11 Plugin (Version: 11.4.402.278) Adobe Flash Player 9 ActiveX (Version: 9) Adobe Reader 8.1.5 - Deutsch (Version: 8.1.5) AnyDVD AutoUpdate (Version: 1.1) Avira Free Antivirus (Version: 13.0.0.3882) AVM FRITZ!Box Dokumentation AVM FRITZ!Box Druckeranschluss Brother BRAdmin Light 1.20.0001 (Version: 1.20.0001) Brother MFL-Pro Suite (Version: 1.00.000) Brother MFL-Pro Suite MFC-J825DW (Version: 1.0.10.0) Canon Inkjet Printer/Scanner/Fax Extended Survey Program CCleaner (Version: 4.03) Conexant HDA D110 MDC V.92 Modem DivX Codec (Version: 6.8.4) DivX Converter (Version: 6.6.1) DivX Player (Version: 6.8.2) DivX Web Player (Version: 1.4.0) Google Chrome (Version: 28.0.1500.72) Google Update Helper (Version: 1.3.21.153) High Definition Audio Driver Package - KB835221 (Version: 20040219.000000) HiJackThis (Version: 1.0.0) HijackThis 2.0.2 (Version: 2.0.2) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB2158563) (Version: 1) Hotfix für Windows XP (KB2443685) (Version: 1) Hotfix für Windows XP (KB2570791) (Version: 1) Hotfix für Windows XP (KB2633952) (Version: 1) Hotfix für Windows XP (KB2756822) (Version: 1) Hotfix für Windows XP (KB2779562) (Version: 1) Hotfix für Windows XP (KB952287) (Version: 1) Hotfix für Windows XP (KB961118) (Version: 1) Intel(R) Graphics Media Accelerator Driver for Mobile (Version: 6.14.10.4410) InterActual Player IrfanView (remove only) (Version: 4.35) Java Auto Updater (Version: 2.0.7.2) Java(TM) 6 Update 39 (Version: 6.0.390) Java(TM) 6 Update 7 (Version: 1.6.0.70) KB408682 Microsoft .NET Framework 2.0 Service Pack 2 (Version: 2.2.30729) Microsoft .NET Framework 3.0 Service Pack 2 (Version: 3.2.30729) Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729) Microsoft Compression Client Pack 1.0 for Windows XP (Version: 1) Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 Microsoft Office Access MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) Microsoft Office Excel MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Groove MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (English) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (French) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (Italian) 2007 (Version: 12.0.4518.1014) Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Shared MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Word MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Software Update for Web Folders (German) 12 (Version: 12.0.4518.1014) Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable (Version: 8.0.59193) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (Version: 10.0.40219) Mozilla Firefox 12.0 (x86 de) (Version: 12.0) Mozilla Maintenance Service (Version: 12.0) MSXML 4.0 SP3 Parser (KB2721691) (Version: 4.30.2114.0) MSXML 4.0 SP3 Parser (KB2758694) (Version: 4.30.2117.0) MSXML 4.0 SP3 Parser (Version: 4.30.2100.0) Nero BurnRights Nero Suite NVIDIA PhysX v8.04.25 (Version: 8.04.25) Paint.NET v3.36 (Version: 3.36.0) Panorama Viewer (Version: 7.30.000) PDFCreator (Version: 0.9.5) Picasa 3 (Version: 3.1) QuickSet (Version: 8.1.10) ScanWizard 5 Sicherheitsupdate für Microsoft Windows (KB2564958) Sicherheitsupdate für Windows Media Player (KB2378111) Sicherheitsupdate für Windows Media Player (KB2834904) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player (KB954155) Sicherheitsupdate für Windows Media Player (KB973540) Sicherheitsupdate für Windows Media Player (KB975558) Sicherheitsupdate für Windows Media Player (KB978695) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows Media Player 9 (KB936782) Sicherheitsupdate für Windows XP (KB2079403) (Version: 1) Sicherheitsupdate für Windows XP (KB2115168) (Version: 1) Sicherheitsupdate für Windows XP (KB2121546) (Version: 1) Sicherheitsupdate für Windows XP (KB2229593) (Version: 1) Sicherheitsupdate für Windows XP (KB2259922) (Version: 1) Sicherheitsupdate für Windows XP (KB2279986) (Version: 1) Sicherheitsupdate für Windows XP (KB2286198) (Version: 1) Sicherheitsupdate für Windows XP (KB2296011) (Version: 1) Sicherheitsupdate für Windows XP (KB2296199) (Version: 1) Sicherheitsupdate für Windows XP (KB2347290) (Version: 1) Sicherheitsupdate für Windows XP (KB2360131) (Version: 1) Sicherheitsupdate für Windows XP (KB2360937) (Version: 1) Sicherheitsupdate für Windows XP (KB2387149) (Version: 1) Sicherheitsupdate für Windows XP (KB2393802) (Version: 1) Sicherheitsupdate für Windows XP (KB2412687) (Version: 1) Sicherheitsupdate für Windows XP (KB2416400) (Version: 1) Sicherheitsupdate für Windows XP (KB2419632) (Version: 1) Sicherheitsupdate für Windows XP (KB2423089) (Version: 1) Sicherheitsupdate für Windows XP (KB2436673) (Version: 1) Sicherheitsupdate für Windows XP (KB2440591) (Version: 1) Sicherheitsupdate für Windows XP (KB2443105) (Version: 1) Sicherheitsupdate für Windows XP (KB2476490) (Version: 1) Sicherheitsupdate für Windows XP (KB2476687) (Version: 1) Sicherheitsupdate für Windows XP (KB2478960) (Version: 1) Sicherheitsupdate für Windows XP (KB2478971) (Version: 1) Sicherheitsupdate für Windows XP (KB2479628) (Version: 1) Sicherheitsupdate für Windows XP (KB2479943) (Version: 1) Sicherheitsupdate für Windows XP (KB2481109) (Version: 1) Sicherheitsupdate für Windows XP (KB2482017) (Version: 1) Sicherheitsupdate für Windows XP (KB2483185) (Version: 1) Sicherheitsupdate für Windows XP (KB2485376) (Version: 1) Sicherheitsupdate für Windows XP (KB2485663) (Version: 1) Sicherheitsupdate für Windows XP (KB2497640) (Version: 1) Sicherheitsupdate für Windows XP (KB2503658) (Version: 1) Sicherheitsupdate für Windows XP (KB2503665) (Version: 1) Sicherheitsupdate für Windows XP (KB2506212) (Version: 1) Sicherheitsupdate für Windows XP (KB2506223) (Version: 1) Sicherheitsupdate für Windows XP (KB2507618) (Version: 1) Sicherheitsupdate für Windows XP (KB2507938) (Version: 1) Sicherheitsupdate für Windows XP (KB2508272) (Version: 1) Sicherheitsupdate für Windows XP (KB2508429) (Version: 1) Sicherheitsupdate für Windows XP (KB2509553) (Version: 1) Sicherheitsupdate für Windows XP (KB2510581) (Version: 1) Sicherheitsupdate für Windows XP (KB2511455) (Version: 1) Sicherheitsupdate für Windows XP (KB2524375) (Version: 1) Sicherheitsupdate für Windows XP (KB2530548) (Version: 1) Sicherheitsupdate für Windows XP (KB2535512) (Version: 1) Sicherheitsupdate für Windows XP (KB2536276) (Version: 1) Sicherheitsupdate für Windows XP (KB2536276-v2) (Version: 2) Sicherheitsupdate für Windows XP (KB2544521) (Version: 1) Sicherheitsupdate für Windows XP (KB2544893) (Version: 1) Sicherheitsupdate für Windows XP (KB2544893-v2) (Version: 2) Sicherheitsupdate für Windows XP (KB2555917) (Version: 1) Sicherheitsupdate für Windows XP (KB2559049) (Version: 1) Sicherheitsupdate für Windows XP (KB2562937) (Version: 1) Sicherheitsupdate für Windows XP (KB2566454) (Version: 1) Sicherheitsupdate für Windows XP (KB2567053) (Version: 1) Sicherheitsupdate für Windows XP (KB2567680) (Version: 1) Sicherheitsupdate für Windows XP (KB2570222) (Version: 1) Sicherheitsupdate für Windows XP (KB2570947) (Version: 1) Sicherheitsupdate für Windows XP (KB2584146) (Version: 1) Sicherheitsupdate für Windows XP (KB2585542) (Version: 1) Sicherheitsupdate für Windows XP (KB2586448) (Version: 1) Sicherheitsupdate für Windows XP (KB2592799) (Version: 1) Sicherheitsupdate für Windows XP (KB2598479) (Version: 1) Sicherheitsupdate für Windows XP (KB2603381) (Version: 1) Sicherheitsupdate für Windows XP (KB2618444) (Version: 1) Sicherheitsupdate für Windows XP (KB2618451) (Version: 1) Sicherheitsupdate für Windows XP (KB2619339) (Version: 1) Sicherheitsupdate für Windows XP (KB2620712) (Version: 1) Sicherheitsupdate für Windows XP (KB2621440) (Version: 1) Sicherheitsupdate für Windows XP (KB2624667) (Version: 1) Sicherheitsupdate für Windows XP (KB2631813) (Version: 1) Sicherheitsupdate für Windows XP (KB2633171) (Version: 1) Sicherheitsupdate für Windows XP (KB2639417) (Version: 1) Sicherheitsupdate für Windows XP (KB2641653) (Version: 1) Sicherheitsupdate für Windows XP (KB2646524) (Version: 1) Sicherheitsupdate für Windows XP (KB2647516) (Version: 1) Sicherheitsupdate für Windows XP (KB2647518) (Version: 1) Sicherheitsupdate für Windows XP (KB2653956) (Version: 1) Sicherheitsupdate für Windows XP (KB2655992) (Version: 1) Sicherheitsupdate für Windows XP (KB2659262) (Version: 1) Sicherheitsupdate für Windows XP (KB2660465) (Version: 1) Sicherheitsupdate für Windows XP (KB2661637) (Version: 1) Sicherheitsupdate für Windows XP (KB2675157) (Version: 1) Sicherheitsupdate für Windows XP (KB2676562) (Version: 1) Sicherheitsupdate für Windows XP (KB2685939) (Version: 1) Sicherheitsupdate für Windows XP (KB2686509) (Version: 1) Sicherheitsupdate für Windows XP (KB2691442) (Version: 1) Sicherheitsupdate für Windows XP (KB2695962) (Version: 1) Sicherheitsupdate für Windows XP (KB2698365) (Version: 1) Sicherheitsupdate für Windows XP (KB2699988) (Version: 1) Sicherheitsupdate für Windows XP (KB2705219) (Version: 1) Sicherheitsupdate für Windows XP (KB2707511) (Version: 1) Sicherheitsupdate für Windows XP (KB2709162) (Version: 1) Sicherheitsupdate für Windows XP (KB2712808) (Version: 1) Sicherheitsupdate für Windows XP (KB2718523) (Version: 1) Sicherheitsupdate für Windows XP (KB2719985) (Version: 1) Sicherheitsupdate für Windows XP (KB2722913) (Version: 1) Sicherheitsupdate für Windows XP (KB2723135) (Version: 1) Sicherheitsupdate für Windows XP (KB2724197) (Version: 1) Sicherheitsupdate für Windows XP (KB2727528) (Version: 1) Sicherheitsupdate für Windows XP (KB2731847) (Version: 1) Sicherheitsupdate für Windows XP (KB2744842) (Version: 1) Sicherheitsupdate für Windows XP (KB2753842) (Version: 1) Sicherheitsupdate für Windows XP (KB2753842-v2) (Version: 2) Sicherheitsupdate für Windows XP (KB2757638) (Version: 1) Sicherheitsupdate für Windows XP (KB2758857) (Version: 1) Sicherheitsupdate für Windows XP (KB2761226) (Version: 1) Sicherheitsupdate für Windows XP (KB2761465) (Version: 1) Sicherheitsupdate für Windows XP (KB2770660) (Version: 1) Sicherheitsupdate für Windows XP (KB2778344) (Version: 1) Sicherheitsupdate für Windows XP (KB2779030) (Version: 1) Sicherheitsupdate für Windows XP (KB2780091) (Version: 1) Sicherheitsupdate für Windows XP (KB2792100) (Version: 1) Sicherheitsupdate für Windows XP (KB2797052) (Version: 1) Sicherheitsupdate für Windows XP (KB2799329) (Version: 1) Sicherheitsupdate für Windows XP (KB2799494) (Version: 1) Sicherheitsupdate für Windows XP (KB2802968) (Version: 1) Sicherheitsupdate für Windows XP (KB2807986) (Version: 1) Sicherheitsupdate für Windows XP (KB2808735) (Version: 1) Sicherheitsupdate für Windows XP (KB2809289) (Version: 1) Sicherheitsupdate für Windows XP (KB2813170) (Version: 1) Sicherheitsupdate für Windows XP (KB2813345) (Version: 1) Sicherheitsupdate für Windows XP (KB2817183) (Version: 1) Sicherheitsupdate für Windows XP (KB2820197) (Version: 1) Sicherheitsupdate für Windows XP (KB2820917) (Version: 1) Sicherheitsupdate für Windows XP (KB2829361) (Version: 1) Sicherheitsupdate für Windows XP (KB2829530) (Version: 1) Sicherheitsupdate für Windows XP (KB2834886) (Version: 1) Sicherheitsupdate für Windows XP (KB2838727) (Version: 1) Sicherheitsupdate für Windows XP (KB2839229) (Version: 1) Sicherheitsupdate für Windows XP (KB2845187) (Version: 1) Sicherheitsupdate für Windows XP (KB2846071) (Version: 1) Sicherheitsupdate für Windows XP (KB2850851) (Version: 1) Sicherheitsupdate für Windows XP (KB923561) (Version: 1) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) (Version: 1) Sicherheitsupdate für Windows XP (KB938464-v2) (Version: 2) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) (Version: 1) Sicherheitsupdate für Windows XP (KB950759) (Version: 1) Sicherheitsupdate für Windows XP (KB950760) (Version: 1) Sicherheitsupdate für Windows XP (KB950762) (Version: 1) Sicherheitsupdate für Windows XP (KB950974) (Version: 1) Sicherheitsupdate für Windows XP (KB951066) (Version: 1) Sicherheitsupdate für Windows XP (KB951376) (Version: 1) Sicherheitsupdate für Windows XP (KB951376-v2) (Version: 2) Sicherheitsupdate für Windows XP (KB951698) (Version: 1) Sicherheitsupdate für Windows XP (KB951748) (Version: 1) Sicherheitsupdate für Windows XP (KB952004) (Version: 1) Sicherheitsupdate für Windows XP (KB952954) (Version: 1) Sicherheitsupdate für Windows XP (KB953838) (Version: 1) Sicherheitsupdate für Windows XP (KB953839) (Version: 1) Sicherheitsupdate für Windows XP (KB954211) (Version: 1) Sicherheitsupdate für Windows XP (KB954459) (Version: 1) Sicherheitsupdate für Windows XP (KB954600) (Version: 1) Sicherheitsupdate für Windows XP (KB955069) (Version: 1) Sicherheitsupdate für Windows XP (KB956390) (Version: 1) Sicherheitsupdate für Windows XP (KB956391) (Version: 1) Sicherheitsupdate für Windows XP (KB956572) (Version: 1) Sicherheitsupdate für Windows XP (KB956744) (Version: 1) Sicherheitsupdate für Windows XP (KB956802) (Version: 1) Sicherheitsupdate für Windows XP (KB956803) (Version: 1) Sicherheitsupdate für Windows XP (KB956841) (Version: 1) Sicherheitsupdate für Windows XP (KB956844) (Version: 1) Sicherheitsupdate für Windows XP (KB957095) (Version: 1) Sicherheitsupdate für Windows XP (KB957097) (Version: 1) Sicherheitsupdate für Windows XP (KB958215) (Version: 1) Sicherheitsupdate für Windows XP (KB958644) (Version: 1) Sicherheitsupdate für Windows XP (KB958687) (Version: 1) Sicherheitsupdate für Windows XP (KB958690) (Version: 1) Sicherheitsupdate für Windows XP (KB958869) (Version: 1) Sicherheitsupdate für Windows XP (KB959426) (Version: 1) Sicherheitsupdate für Windows XP (KB960225) (Version: 1) Sicherheitsupdate für Windows XP (KB960714) (Version: 1) Sicherheitsupdate für Windows XP (KB960715) (Version: 1) Sicherheitsupdate für Windows XP (KB960803) (Version: 1) Sicherheitsupdate für Windows XP (KB960859) (Version: 1) Sicherheitsupdate für Windows XP (KB961373) (Version: 1) Sicherheitsupdate für Windows XP (KB961501) (Version: 1) Sicherheitsupdate für Windows XP (KB963027) (Version: 1) Sicherheitsupdate für Windows XP (KB969059) (Version: 1) Sicherheitsupdate für Windows XP (KB970430) (Version: 1) Sicherheitsupdate für Windows XP (KB971657) (Version: 1) Sicherheitsupdate für Windows XP (KB971961) (Version: 1) Sicherheitsupdate für Windows XP (KB972270) (Version: 1) Sicherheitsupdate für Windows XP (KB973507) (Version: 1) Sicherheitsupdate für Windows XP (KB973869) (Version: 1) Sicherheitsupdate für Windows XP (KB973904) (Version: 1) Sicherheitsupdate für Windows XP (KB974112) (Version: 1) Sicherheitsupdate für Windows XP (KB974318) (Version: 1) Sicherheitsupdate für Windows XP (KB974392) (Version: 1) Sicherheitsupdate für Windows XP (KB974571) (Version: 1) Sicherheitsupdate für Windows XP (KB975025) (Version: 1) Sicherheitsupdate für Windows XP (KB975467) (Version: 1) Sicherheitsupdate für Windows XP (KB975560) (Version: 1) Sicherheitsupdate für Windows XP (KB975562) (Version: 1) Sicherheitsupdate für Windows XP (KB975713) (Version: 1) Sicherheitsupdate für Windows XP (KB977816) (Version: 1) Sicherheitsupdate für Windows XP (KB977914) (Version: 1) Sicherheitsupdate für Windows XP (KB978037) (Version: 1) Sicherheitsupdate für Windows XP (KB978338) (Version: 1) Sicherheitsupdate für Windows XP (KB978542) (Version: 1) Sicherheitsupdate für Windows XP (KB978601) (Version: 1) Sicherheitsupdate für Windows XP (KB978706) (Version: 1) Sicherheitsupdate für Windows XP (KB979309) (Version: 1) Sicherheitsupdate für Windows XP (KB979482) (Version: 1) Sicherheitsupdate für Windows XP (KB979687) (Version: 1) Sicherheitsupdate für Windows XP (KB980195) (Version: 1) Sicherheitsupdate für Windows XP (KB980232) (Version: 1) Sicherheitsupdate für Windows XP (KB980436) (Version: 1) Sicherheitsupdate für Windows XP (KB981322) (Version: 1) Sicherheitsupdate für Windows XP (KB981349) (Version: 1) Sicherheitsupdate für Windows XP (KB981852) (Version: 1) Sicherheitsupdate für Windows XP (KB981957) (Version: 1) Sicherheitsupdate für Windows XP (KB981997) (Version: 1) Sicherheitsupdate für Windows XP (KB982132) (Version: 1) Sicherheitsupdate für Windows XP (KB982214) (Version: 1) Sicherheitsupdate für Windows XP (KB982665) (Version: 1) SigmaTel Audio (Version: 5.10.5210.0) Spelling Dictionaries Support For Adobe Reader 8 (Version: 8.0.0) StarMoney (Version: 3.0.0.124) StarMoney 8.0 S-Edition (Version: 8.0) Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1) Update für Windows XP (KB2141007) (Version: 1) Update für Windows XP (KB2345886) (Version: 1) Update für Windows XP (KB2467659) (Version: 1) Update für Windows XP (KB2541763) (Version: 1) Update für Windows XP (KB2607712) (Version: 1) Update für Windows XP (KB2616676-v2) (Version: 2) Update für Windows XP (KB2641690) (Version: 1) Update für Windows XP (KB2661254-v2) (Version: 2) Update für Windows XP (KB2718704) (Version: 1) Update für Windows XP (KB2736233) (Version: 1) Update für Windows XP (KB2749655) (Version: 1) Update für Windows XP (KB942763) (Version: 1) Update für Windows XP (KB951072-v2) (Version: 2) Update für Windows XP (KB951978) (Version: 1) Update für Windows XP (KB955759) (Version: 1) Update für Windows XP (KB955839) (Version: 1) Update für Windows XP (KB967715) (Version: 1) Update für Windows XP (KB968389) (Version: 1) Update für Windows XP (KB971029) (Version: 1) Update für Windows XP (KB971737) (Version: 1) Update für Windows XP (KB973687) (Version: 1) Update für Windows XP (KB973815) (Version: 1) VC_MergeModuleToMSI (Version: 1.0.0) VLC media player 0.9.9 (Version: 0.9.9) WebFldrs XP (Version: 9.50.7523) Wichtiges Update für Windows Media Player 11 (KB959772) Windows Genuine Advantage Validation Tool (KB892130) Windows Genuine Advantage Validation Tool (KB892130) (Version: 1.7.0069.2) Windows Media Format 11 runtime Windows XP Service Pack 3 (Version: 20080414.031514) WinRAR ==================== Restore Points ========================= 22-05-2013 06:09:02 Software Distribution Service 3.0 11-06-2013 20:09:15 Software Distribution Service 3.0 24-06-2013 19:22:19 Systemprüfpunkt 13-07-2013 11:00:39 Systemprüfpunkt 14-07-2013 17:18:33 Software Distribution Service 3.0 20-07-2013 08:20:28 Installiert StarMoney ==================== Hosts content: ========================== 2004-08-04 12:00 - 2013-07-20 18:26 - 00000027 ____A C:\WINDOWS\system32\Drivers\etc\hosts 127.0.0.1 localhost ==================== Scheduled Tasks (whitelisted) ============= Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Programme\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Programme\Google\Update\GoogleUpdate.exe ==================== Faulty Device Manager Devices ============= Name: Intel(R) PRO/Wireless 2200BG Network Connection Description: Intel(R) PRO/Wireless 2200BG Network Connection Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318} Manufacturer: Intel(R) Corporation Service: w29n51 Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. ==================== Event log errors: ========================= Application errors: ================== Error: (07/20/2013 05:42:56 PM) (Source: Application Hang) (User: ) Description: Stillstehende Anwendung firefox.exe, Version 12.0.0.4493, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error: (07/20/2013 00:38:23 PM) (Source: crypt32) (User: ) Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error: (07/20/2013 00:38:23 PM) (Source: crypt32) (User: ) Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error: (07/20/2013 11:38:05 AM) (Source: Application Hang) (User: ) Description: Stillstehende Anwendung firefox.exe, Version 12.0.0.4493, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error: (07/20/2013 10:02:17 AM) (Source: crypt32) (User: ) Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error: (07/20/2013 10:02:17 AM) (Source: crypt32) (User: ) Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error: (07/14/2013 07:22:35 PM) (Source: System.ServiceModel.Install 3.0.0.0) (User: ) Description: WMI classes are not installed. System errors: ============= Error: (07/28/2013 09:22:06 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Google Update-Dienst (gupdate)" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error: (07/28/2013 09:22:06 PM) (Source: Service Control Manager) (User: ) Description: Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Google Update-Dienst (gupdate). Error: (07/28/2013 09:21:42 PM) (Source: DCOM) (User: NT-AUTORITÄT) Description: Bei DCOM ist der Fehler "%%1053" aufgetreten, als der Dienst "gupdate" mit den Argumenten "/comsvc" gestartet wurde, um den folgenden Server zu verwenden: {4EB61BAC-A3B6-4760-9581-655041EF4D69} Error: (07/28/2013 09:19:59 PM) (Source: Service Control Manager) (User: ) Description: Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst StarMoney 8.0 OnlineUpdate. Error: (07/28/2013 09:06:33 PM) (Source: Service Control Manager) (User: ) Description: Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst StarMoney 8.0 OnlineUpdate. Error: (07/20/2013 06:04:47 PM) (Source: Service Control Manager) (User: ) Description: Dienst "StarMoney 8.0 OnlineUpdate" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error: (07/20/2013 05:45:50 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: %%2 Error: (07/20/2013 05:45:50 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: %%2 Error: (07/20/2013 05:45:50 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: %%2 Error: (07/20/2013 05:45:50 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: %%2 Microsoft Office Sessions: ========================= Error: (12/07/2008 11:37:57 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 17021 seconds with 780 seconds of active time. This session ended with a crash. ==================== Memory info =========================== Percentage of memory in use: 33% Total physical RAM: 1015.37 MB Available physical RAM: 679.66 MB Total Pagefile: 2442.66 MB Available Pagefile: 2089.73 MB Total Virtual: 2047.88 MB Available Virtual: 1969.25 MB ==================== Drives ================================ Drive c: (Windows) (Fixed) (Total:29.29 GB) (Free:17.21 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive e: (Daten) (Fixed) (Total:45.15 GB) (Free:42.78 GB) NTFS Drive f: (STICK) (Removable) (Total:3.79 GB) (Free:3.39 GB) FAT32 ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 75 GB) (Disk ID: BD296E65) Partition 1: (Not Active) - (Size=78 MB) - (Type=DE) Partition 2: (Active) - (Size=29 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=45 GB) - (Type=OF Extended) ======================================================== Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18) Partition 1: (Active) - (Size=4 GB) - (Type=0C) ==================== End Of Log ============================ Was meinst du dazu? |
29.07.2013, 21:08 | #9 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus, Sieht schon viel besser aus. Wir entfernen die letzten Reste und kontrollieren nochmal alles: Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter start HKLM\...\Policies\Explorer\Run: [8901] C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd [x] C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd FF Extension: Java Link Helper - C:\WINDOWS\system32\12001.041 C:\WINDOWS\system32\12001.041 FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\12001.041 FF Extension: Java Link Helper - C:\WINDOWS\system32\12001.041 C:\WINDOWS\system32\12001.040 C:\WINDOWS\system32\12001.039 C:\WINDOWS\system32\12001.038 C:\WINDOWS\system32\12001.037 C:\WINDOWS\system32\12001.036 C:\WINDOWS\system32\12001.035 C:\WINDOWS\system32\12001.034 C:\WINDOWS\system32\12001.033 end Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 Downloade Dir bitte Malwarebytes Anti-Malware
Schritt 3 ESET Online Scanner
Schritt 4 Downloade Dir bitte SecurityCheck und:
Bitte poste mit deiner nächsten Antwort
|
03.08.2013, 11:01 | #10 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen! |
28.10.2013, 16:05 | #11 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus, lösche die vorhandene FRST.exe vom Desktop und lade das Tool neu auf den Desktop herunter und führe es von dort aus: Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
31.10.2013, 14:14 | #12 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Vielen Dank für das Wiedereröffnen und die weitere Hilfe! Habe jetzt alle Schritte gemacht, anbei die Logfiles: FRST - Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 28-07-2013 Ran by Tina at 2013-10-30 15:27:04 Run:1 Running from C:\Dokumente und Einstellungen\Tina\Desktop Boot Mode: Normal ============================================== HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\8901 => Value not found. "C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd" => File/Directory not found. C:\WINDOWS\system32\12001.041 => Moved successfully. "C:\WINDOWS\system32\12001.041" => File/Directory not found. HKCU\Software\Mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} => Value deleted successfully. C:\WINDOWS\system32\12001.041 => not found. "C:\WINDOWS\system32\12001.040" => File/Directory not found. "C:\WINDOWS\system32\12001.039" => File/Directory not found. "C:\WINDOWS\system32\12001.038" => File/Directory not found. "C:\WINDOWS\system32\12001.037" => File/Directory not found. "C:\WINDOWS\system32\12001.036" => File/Directory not found. "C:\WINDOWS\system32\12001.035" => File/Directory not found. "C:\WINDOWS\system32\12001.034" => File/Directory not found. "C:\WINDOWS\system32\12001.033" => File/Directory not found. ==== End of Fixlog ==== Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.10.31.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Tina :: LAPTOPMAMA [Administrator] 31.10.2013 08:42:20 mbam-log-2013-10-31 (08-42-20).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 208261 Laufzeit: 26 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|8901 (Trojan.Agent) -> Daten: C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.cmd -> Löschen bei Neustart. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log: Can not open internetESETSmartInstaller@High as downloader log: Can not open internetCan not open internetESETSmartInstaller@High as downloader log: Can not open internetCan not open internetESETSmartInstaller@High as downloader log: Can not open internetCan not open internetESETSmartInstaller@High as downloader log: Can not open internetCan not open internetESETSmartInstaller@High as downloader log: Can not open internet# version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=c56f1a8d35fd464ab8389a636d3f8cfa # engine=15706 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-10-31 11:53:50 # local_time=2013-10-31 12:53:50 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=774 16777213 71 76 12486 98527 0 0 # scanned=47371 # found=0 # cleaned=0 # scan_time=7685 Code:
ATTFilter Results of screen317's Security Check version 0.99.74 Windows XP Service Pack 3 x86 Internet Explorer 6 Out of date! ``````````````Antivirus/Firewall Check:`````````````` avast! Free Antivirus `````````Anti-malware/Other Utilities Check:````````` Out of date HijackThis installed! Malwarebytes Anti-Malware Version 1.75.0.1300 HijackThis 2.0.2 CCleaner Java(TM) 6 Update 39 Java(TM) 6 Update 7 Java version out of Date! Adobe Flash Player 9 Flash Player out of Date! Adobe Flash Player 11.4.402.278 Adobe Reader 8 Adobe Reader out of Date! Mozilla Firefox 12.0 Firefox out of Date! Google Chrome 28.0.1500.72 Google Chrome 30.0.1599.101 ````````Process Check: objlist.exe by Laurent```````` AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-10-2013 Ran by Tina (administrator) on LAPTOPMAMA on 31-10-2013 14:00:11 Running from C:\Dokumente und Einstellungen\Tina\Desktop Microsoft Windows XP Home Edition Service Pack 3 (X86) OS Language: German Standard Internet Explorer Version 6 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (AVAST Software) C:\Programme\AVAST Software\Avast\AvastSvc.exe () C:\Programme\Canon\IJPLM\IJPLMSVC.EXE (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Google Inc.) C:\Programme\Google\Update\GoogleUpdate.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Dell Inc) C:\Programme\Dell\QuickSet\quickset.exe (SigmaTel, Inc.) C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe (Brother Industries, Ltd.) C:\Programme\ControlCenter4\BrCtrlCntr.exe (Brother Industries, Ltd.) C:\Programme\Browny02\Brother\BrStMonW.exe (Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (AVAST Software) C:\Programme\AVAST Software\Avast\AvastUI.exe (Brother Industries, Ltd.) C:\Programme\Browny02\BrYNSvc.exe (Brother Industries, Ltd.) C:\Programme\ControlCenter4\BrCcUxSys.exe (Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe () C:\Dokumente und Einstellungen\Tina\Desktop\SecurityCheck.exe (Microsoft Corporation) C:\WINDOWS\system32\cmd.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [igfxhkcmd] - C:\WINDOWS\system32\hkcmd.exe [ ] () HKLM\...\Run: [igfxpers] - C:\WINDOWS\system32\igfxpers.exe [114688 2005-10-14] (Intel Corporation) HKLM\...\Run: [Dell QuickSet] - C:\Programme\Dell\QuickSet\quickset.exe [1191936 2007-02-20] (Dell Inc) HKLM\...\Run: [SigmatelSysTrayApp] - %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Programme\Adobe Reader 8.0\Reader\reader_sl.exe [39792 2008-10-15] (Adobe Systems Incorporated) HKLM\...\Run: [ControlCenter4] - C:\Programme\ControlCenter4\BrCcBoot.exe [139264 2011-04-20] (Brother Industries, Ltd.) HKLM\...\Run: [BrStsMon00] - C:\Programme\Browny02\Brother\BrStMonW.exe [2629632 2010-12-23] (Brother Industries, Ltd.) HKLM\...\Run: [SunJavaUpdateSched] - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [254896 2012-09-17] (Sun Microsystems, Inc.) HKLM\...\Run: [AvastUI.exe] - C:\Programme\AVAST Software\Avast\avastui.exe [3567800 2013-10-31] (AVAST Software) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SearchScopes: HKLM - DefaultScope value is missing. BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) Toolbar: HKCU - &Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation) Toolbar: HKCU - &Links - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-26] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 FireFox: ======== FF ProfilePath: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default FF Homepage: https://www.stuempflhof-shop.de/ FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll () FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.) FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 - C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF Plugin: @java.com/DTPlugin,version=1.6.0_39 - C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.21.165\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.21.165\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKCU: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF SearchPlugin: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\suche.xml FF SearchPlugin: C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\searchplugins\wikipedia-eng.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml FF Extension: Move Media Player - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\moveplayer@movenetworks.com FF Extension: Microsoft .NET Framework Assistant - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} FF Extension: WOT - C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\zy7n7e4l.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\WINDOWS\system32\12001.041 FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Programme\AVAST Software\Avast\WebRep\FF FF Extension: avast! Online Security - C:\Programme\AVAST Software\Avast\WebRep\FF Chrome: ======= CHR HomePage: hxxp://www.google.com CHR RestoreOnStartup: "hxxp://www.google.com" CHR Extension: (Docs) - C:\DOKUME~1\Tina\LOKALE~1\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0 CHR Extension: (Google Drive) - C:\DOKUME~1\Tina\LOKALE~1\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0 CHR Extension: (YouTube) - C:\DOKUME~1\Tina\LOKALE~1\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0 CHR Extension: (Google Search) - C:\DOKUME~1\Tina\LOKALE~1\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0 CHR Extension: (Gmail) - C:\DOKUME~1\Tina\LOKALE~1\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0 CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Programme\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx ========================== Services (Whitelisted) ================= R2 avast! Antivirus; C:\Programme\AVAST Software\Avast\AvastSvc.exe [50344 2013-10-30] (AVAST Software) S4 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-11] (brother Industries Ltd) R3 BrYNSvc; C:\Programme\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2013-07-20] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2013-07-20] (Google Inc.) S4 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [136120 2008-11-20] (Google) R2 IJPLMSVC; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [140456 2011-09-06] () S4 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [65824 2006-10-26] (Microsoft Corporation) S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [129976 2012-05-29] (Mozilla Foundation) S4 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [441136 2006-10-26] (Microsoft Corporation) S4 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) S2 StarMoney 8.0 OnlineUpdate; C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH) S4 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) R2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" ==================== Drivers (Whitelisted) ==================== R3 AnyDVD; C:\Windows\System32\Drivers\AnyDVD.sys [99648 2008-09-20] (SlySoft, Inc.) R1 APPDRV; C:\Windows\SYSTEM32\DRIVERS\APPDRV.SYS [16128 2005-08-12] (Dell Inc) R2 aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [35656 2013-10-30] (AVAST Software) R2 aswMonFlt; C:\WINDOWS\system32\drivers\aswMonFlt.sys [70384 2013-10-30] (AVAST Software) R1 aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [54832 2013-10-30] (AVAST Software) R0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49944 2013-10-30] () R1 aswSnx; C:\WINDOWS\system32\drivers\aswSnx.sys [774392 2013-10-30] (AVAST Software) R1 aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [403440 2013-10-30] (AVAST Software) R1 aswTdi; C:\WINDOWS\system32\drivers\aswTdi.sys [57672 2013-10-30] (AVAST Software) R0 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [178304 2013-10-30] () S3 BrScnUsb; C:\Windows\System32\Drivers\BrScnUsb.sys [15295 2004-10-15] (Brother Industries Ltd.) S3 CyUsbNT; C:\Windows\System32\Drivers\CyUsbNT.sys [28800 2005-02-16] (Cypress Semiconductor) R1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [24392 2008-07-21] (Elaborate Bytes AG) R3 HSFHWAZL; C:\Windows\System32\DRIVERS\HSFHWAZL.sys [201600 2005-07-22] (Conexant Systems, Inc.) R3 HSF_DPV; C:\Windows\System32\DRIVERS\HSF_DPV.sys [1035008 2005-07-22] (Conexant Systems, Inc.) R3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [1302812 2005-10-14] (Intel Corporation) S3 LUsbFilt; C:\Windows\System32\Drivers\LUsbFilt.Sys [28816 2008-12-18] (Logitech, Inc.) S3 s116bus; C:\Windows\System32\DRIVERS\s116bus.sys [83336 2007-04-03] (MCCI Corporation) S3 s116mdfl; C:\Windows\System32\DRIVERS\s116mdfl.sys [15112 2007-04-03] (MCCI Corporation) S3 s116mdm; C:\Windows\System32\DRIVERS\s116mdm.sys [108680 2007-04-03] (MCCI Corporation) S3 s116mgmt; C:\Windows\System32\DRIVERS\s116mgmt.sys [100488 2007-04-03] (MCCI Corporation) S3 s116nd5; C:\Windows\System32\DRIVERS\s116nd5.sys [23176 2007-04-03] (MCCI Corporation) S3 s116obex; C:\Windows\System32\DRIVERS\s116obex.sys [98696 2007-04-03] (MCCI Corporation) S3 s116unic; C:\Windows\System32\DRIVERS\s116unic.sys [99080 2007-04-03] (MCCI Corporation) S3 s125bus; C:\Windows\System32\DRIVERS\s125bus.sys [83336 2007-04-24] (MCCI Corporation) S3 s125mdfl; C:\Windows\System32\DRIVERS\s125mdfl.sys [15112 2007-04-24] (MCCI Corporation) S3 s125mdm; C:\Windows\System32\DRIVERS\s125mdm.sys [108680 2007-04-24] (MCCI Corporation) S3 s125mgmt; C:\Windows\System32\DRIVERS\s125mgmt.sys [100488 2007-04-24] (MCCI Corporation) S3 s125obex; C:\Windows\System32\DRIVERS\s125obex.sys [98696 2007-04-24] (MCCI Corporation) S4 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2008-05-30] (Duplex Secure Ltd.) R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH) R3 STHDA; C:\Windows\System32\drivers\sthda.sys [1222840 2007-05-10] (SigmaTel, Inc.) R3 w29n51; C:\Windows\System32\DRIVERS\w29n51.sys [3210496 2004-10-21] (Intel® Corporation) S3 catchme; \??\C:\DOKUME~1\Tina\LOKALE~1\Temp\catchme.sys [x] U5 ScsiPort; C:\Windows\system32\drivers\scsiport.sys [96384 2008-04-13] (Microsoft Corporation) U3 TlntSvr; ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-10-30 16:19 - 2013-10-30 16:20 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware 2013-10-30 16:19 - 2013-10-30 16:19 - 00000763 _____ C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2013-10-30 16:19 - 2013-10-30 16:19 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware 2013-10-30 16:19 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2013-10-30 16:14 - 2013-10-30 16:14 - 00891167 _____ C:\Dokumente und Einstellungen\Tina\Desktop\SecurityCheck.exe 2013-10-30 16:13 - 2013-10-30 16:13 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Tina\Desktop\esetsmartinstaller_enu.exe 2013-10-30 16:12 - 2013-10-30 16:13 - 10285040 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Tina\Desktop\mbam-setup-1.75.0.1300.exe 2013-10-30 16:12 - 2013-10-30 16:13 - 01956614 _____ (Farbar) C:\Dokumente und Einstellungen\Tina\Desktop\FRST64.exe 2013-10-30 15:33 - 2013-10-30 15:33 - 00001784 _____ C:\Dokumente und Einstellungen\Tina\Desktop\Google Chrome.lnk 2013-10-30 15:26 - 2013-10-30 15:26 - 00000000 ____D C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\AVAST Software 2013-10-30 10:34 - 2013-10-30 10:34 - 00001704 _____ C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk 2013-10-30 10:34 - 2013-10-30 10:34 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avast 2013-10-30 10:32 - 2013-10-30 10:32 - 00774392 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSnx.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00403440 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSP.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00269216 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe 2013-10-30 10:32 - 2013-10-30 10:32 - 00178304 _____ C:\WINDOWS\system32\Drivers\aswVmm.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00070384 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswMonFlt.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00057672 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswTdi.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00054832 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRdr.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00049944 _____ C:\WINDOWS\system32\Drivers\aswRvrt.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00043152 _____ (AVAST Software) C:\WINDOWS\avastSS.scr 2013-10-30 10:32 - 2013-10-30 10:32 - 00035656 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswFsBlk.sys 2013-10-30 10:28 - 2013-10-30 10:28 - 00000000 ____D C:\Programme\AVAST Software 2013-10-30 10:15 - 2013-10-30 10:16 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software 2013-10-30 10:03 - 2013-10-30 10:07 - 85269544 _____ (AVAST Software) C:\Dokumente und Einstellungen\Tina\Desktop\avast_free_antivirus_setup_9.0.2006.159.exe ==================== One Month Modified Files and Folders ======= 2013-10-31 13:59 - 2013-07-28 20:57 - 01089275 _____ (Farbar) C:\Dokumente und Einstellungen\Tina\Desktop\FRST.exe 2013-10-31 13:55 - 2008-05-29 19:30 - 00000000 ___RD C:\Programme 2013-10-31 13:55 - 2008-05-29 19:05 - 01655683 _____ C:\WINDOWS\WindowsUpdate.log 2013-10-31 13:43 - 2013-07-20 08:46 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2013-10-31 11:43 - 2008-05-29 19:10 - 00032034 _____ C:\WINDOWS\SchedLgU.Txt 2013-10-31 09:43 - 2013-07-20 08:46 - 00001082 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2013-10-31 09:27 - 2008-05-29 19:32 - 00000159 _____ C:\WINDOWS\wiadebug.log 2013-10-31 09:27 - 2008-05-29 19:32 - 00000050 _____ C:\WINDOWS\wiaservc.log 2013-10-31 09:27 - 2008-05-29 19:10 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT 2013-10-31 09:25 - 2008-06-01 16:29 - 00000000 ____D C:\WINDOWS\pss 2013-10-31 09:25 - 2008-05-29 19:11 - 00000190 ___SH C:\Dokumente und Einstellungen\Tina\ntuser.ini 2013-10-31 08:18 - 2008-05-29 19:11 - 00000000 ____D C:\Dokumente und Einstellungen\Tina 2013-10-30 16:20 - 2013-10-30 16:19 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware 2013-10-30 16:19 - 2013-10-30 16:19 - 00000763 _____ C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2013-10-30 16:19 - 2013-10-30 16:19 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware 2013-10-30 16:19 - 2008-05-29 19:29 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2013-10-30 16:14 - 2013-10-30 16:14 - 00891167 _____ C:\Dokumente und Einstellungen\Tina\Desktop\SecurityCheck.exe 2013-10-30 16:13 - 2013-10-30 16:13 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Tina\Desktop\esetsmartinstaller_enu.exe 2013-10-30 16:13 - 2013-10-30 16:12 - 10285040 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Tina\Desktop\mbam-setup-1.75.0.1300.exe 2013-10-30 16:13 - 2013-10-30 16:12 - 01956614 _____ (Farbar) C:\Dokumente und Einstellungen\Tina\Desktop\FRST64.exe 2013-10-30 15:33 - 2013-10-30 15:33 - 00001784 _____ C:\Dokumente und Einstellungen\Tina\Desktop\Google Chrome.lnk 2013-10-30 15:33 - 2009-04-15 20:16 - 00000000 ____D C:\Dokumente und Einstellungen\Tina\Lokale Einstellungen\Anwendungsdaten\Google 2013-10-30 15:26 - 2013-10-30 15:26 - 00000000 ____D C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\AVAST Software 2013-10-30 10:34 - 2013-10-30 10:34 - 00001704 _____ C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk 2013-10-30 10:34 - 2013-10-30 10:34 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avast 2013-10-30 10:32 - 2013-10-30 10:32 - 00774392 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSnx.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00403440 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSP.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00269216 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe 2013-10-30 10:32 - 2013-10-30 10:32 - 00178304 _____ C:\WINDOWS\system32\Drivers\aswVmm.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00070384 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswMonFlt.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00057672 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswTdi.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00054832 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRdr.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00049944 _____ C:\WINDOWS\system32\Drivers\aswRvrt.sys 2013-10-30 10:32 - 2013-10-30 10:32 - 00043152 _____ (AVAST Software) C:\WINDOWS\avastSS.scr 2013-10-30 10:32 - 2013-10-30 10:32 - 00035656 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswFsBlk.sys 2013-10-30 10:28 - 2013-10-30 10:28 - 00000000 ____D C:\Programme\AVAST Software 2013-10-30 10:16 - 2013-10-30 10:15 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software 2013-10-30 10:12 - 2013-07-20 09:44 - 00008548 _____ C:\WINDOWS\setupapi.log 2013-10-30 10:12 - 2012-12-17 20:48 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2013-10-30 10:07 - 2013-10-30 10:03 - 85269544 _____ (AVAST Software) C:\Dokumente und Einstellungen\Tina\Desktop\avast_free_antivirus_setup_9.0.2006.159.exe 2013-10-30 08:14 - 2004-08-04 11:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl 2013-10-28 15:25 - 2012-01-24 11:26 - 00000000 ____D C:\WINDOWS\system32\NtmsData 2013-10-28 15:24 - 2008-05-29 19:03 - 00000000 ____D C:\WINDOWS\Registration 2013-10-28 15:18 - 2008-05-29 19:30 - 01101994 _____ C:\WINDOWS\system32\PerfStringBackup.INI ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2004-08-04 11:00] - [2008-04-14 03:22] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e C:\Windows\System32\winlogon.exe [2004-08-04 11:00] - [2008-04-14 03:23] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a C:\Windows\System32\svchost.exe [2004-08-04 11:00] - [2008-04-14 03:23] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 C:\Windows\System32\services.exe [2004-08-04 11:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc C:\Windows\System32\User32.dll [2004-08-04 11:00] - [2008-04-14 03:22] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd C:\Windows\System32\userinit.exe [2004-08-04 11:00] - [2008-04-14 03:23] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 C:\Windows\System32\Drivers\volsnap.sys [2004-08-04 11:00] - [2008-04-14 02:52] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d ==================== End Of Log ============================ |
31.10.2013, 17:02 | #13 |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und Agent Servus, Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Downloade Dir bitte den Internet Explorer 8 von hier und installiere diesen. Auch wenn dieser nicht dein Standard-Browser ist, sollte sich die aktuelle Version am Rechner befinden. Es gibt noch genug Software, die diesen zum Updaten verwendet. Schritt 1 Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2 Deine Version von Adobe Flash Player ist veraltet. Bitte folge diesen Schritte, um Adobe Flash zu aktualisieren:
Schritt 3 Deinstalliere bitte deine aktuelle Version von Adobe Reader Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader und lade dir die neue Version von Hier herunter- Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome. Schritt 4
Prüfe bitte auch (regelmässig) ob folgende Links fehlende Updates bei deinen Plugins zeigen: Schritt 5 Die Reihenfolge ist hier entscheidend.
Schritt 6 Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems. Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von Registry Cleanern. Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link: Miekemoes Blogspot ( MVP ) Was du vermeiden solltest:
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
03.11.2013, 22:10 | #14 |
| Zwei Plagegeister entdeckt: ShellChanger und Agent Vielen lieben Dank für die Hilfe und die weiteren Tipps!!! Ich bin gerade noch dabei alle Programme auf den aktuellen Stand zu bringen um dann die zusätzlichen Schutzmaßnahmen zu starten. Eine Frage habe ich noch: Mit Registry-Cleaner, meinst du da so Programme wie "CC Cleaner"? Das habe ich in der Vergangenheit immer regelmäßig laufen lassen.. |
04.11.2013, 16:46 | #15 | |
/// TB-Ausbilder | Zwei Plagegeister entdeckt: ShellChanger und AgentZitat:
Wir empfehlen daher TFC (siehe meinen letzten Post) zur Entfernung der temporären Dateien. Ich bin froh, dass wir helfen konnten In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest: Lob, Kritik und Wünsche Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
Themen zu Zwei Plagegeister entdeckt: ShellChanger und Agent |
adobe, antivir, avg, avira, avira searchfree toolbar, bho, canon, einstellungen, error, excel, failed, fatal error, fehler, firefox, flash player, format, google, helper, hijack, home, intranet, logfile, plug-in, registry, rundll, scan, security, software, starmoney, temp, udp |