| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Syshost 32 Rootkit ProblemeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.05.2014, 15:22
| #1 |
| |  Syshost 32 Rootkit Probleme Hallo Leute, ich bräuchte einmal eure Hilfe. Seid gestern kämpfe ich gegen einen SYSHOST 32 Trojaner, ich hab bereits Malwarebytes drüberlaufen lassen, der hat auch einiges gefunden, aber anscheinend nicht alles. E befindet sich noch ein Rootkit auf der Platte, das durch Malwarebytes entdeckt, aber nicht gelöscht werden kann. Hier mal die Logfiles: Code:
ATTFilter OTL Extras logfile created on: 30.05.2014 16:05:20 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Reisender\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,30 Gb Total Physical Memory | 1,76 Gb Available Physical Memory | 76,44% Memory free
4,15 Gb Paging File | 3,72 Gb Available in Paging File | 89,60% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,09 Gb Total Space | 180,81 Gb Free Space | 60,66% Space Free | Partition Type: NTFS
Computer Name: HAL | User Name: Reisender | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_USERS\S-1-5-21-3923369269-1443929604-1222631662-1005\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\FreshWebmaster\FreshFTP\freshftp.exe" = C:\Programme\FreshWebmaster\FreshFTP\freshftp.exe:*:Enabled:freshftp -- (freshwebmaster.com)
"C:\Programme\Spybot - Search & Destroy 2\SDTray.exe" = C:\Programme\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe" = C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe" = C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe" = C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{412033BC-44CF-48D9-B813-4B835101F4D3}" = Adobe Illustrator 10
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5D8FADEF-EA1E-4DE1-B839-1564F2C1FE58}" = Caplio Software
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{90F1DDBF-0C56-44B0-A920-72CC90C51565}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO -viewer-
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.5 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CE28E6F5-4A03-4DED-B954-D0779B47FFBF}" = Works Update
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0ACE89D-EC7F-470F-80BE-4C98ED366B32}" = Acer Crystal Eye webcam Ver:1.1.192.810
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 13 ActiveX
"Adobe Photoshop 6.0" = Adobe Photoshop 6.0
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"BurnAware Free_is1" = BurnAware Free 5.2
"CCleaner" = CCleaner (remove only)
"DigiEffects AgedFilm Demo" = DigiEffects AgedFilm Demo
"Driver Cleaner Pro" = DH Driver Cleaner Professional Edition
"Easy Graphic Converter 1.2_is1" = Easy Graphic Converter 1.2
"Eye Candy 4000" = Eye Candy 4000
"FastStone Capture" = FastStone Capture 5.1
"FreshWebmaster FreshFTP_is1" = FreshFTP
"GoldWave v5.19" = GoldWave v5.19
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Image Doctor" = Alien Skin Image Doctor 1.0
"IrfanView" = IrfanView (remove only)
"LManager" = Launch Manager
"Malwarebytes Anti-Malware_is1" = Malwarebytes Anti-Malware Version 2.0.2.1012
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"ReaConverter 6.9 Standard_is1" = ReaConverter 6.9 Standard
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"WinRAR archiver" = WinRAR
"Works2006Setup" = Setup-Start von Microsoft Works Suite 2006
"WUV30" = Windows Update Agent 3.0
"Xenofex2" = Alien Skin Xenofex 2.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 25.01.2014 22:40:06 | Computer Name = HAL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 25.01.2014 22:40:06 | Computer Name = HAL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 25.01.2014 22:40:07 | Computer Name = HAL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 25.01.2014 22:40:07 | Computer Name = HAL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 25.01.2014 22:40:11 | Computer Name = HAL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server returned an invalid or unrecognized
response .
Error - 25.01.2014 22:40:11 | Computer Name = HAL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 25.01.2014 22:40:11 | Computer Name = HAL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 11.02.2014 07:41:22 | Computer Name = HAL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung IEXPLORE.EXE, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 11.02.2014 07:43:07 | Computer Name = HAL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung IEXPLORE.EXE, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 11.02.2014 07:45:29 | Computer Name = HAL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung IEXPLORE.EXE, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 30.05.2014 07:00:32 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 30.05.2014 07:28:07 | Computer Name = HAL | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
2 Security Center Service.
Error - 30.05.2014 07:28:07 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 30.05.2014 08:13:40 | Computer Name = HAL | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
2 Security Center Service.
Error - 30.05.2014 08:13:40 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 30.05.2014 08:40:45 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht
gestartet: %%31
Error - 30.05.2014 08:41:13 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht
gestartet: %%31
Error - 30.05.2014 08:48:11 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht
gestartet: %%31
Error - 30.05.2014 08:50:18 | Computer Name = HAL | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
2 Security Center Service.
Error - 30.05.2014 08:50:18 | Computer Name = HAL | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
< End of report >
Code:
ATTFilter OTL logfile created on: 30.05.2014 16:05:20 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Reisender\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,30 Gb Total Physical Memory | 1,76 Gb Available Physical Memory | 76,44% Memory free 4,15 Gb Paging File | 3,72 Gb Available in Paging File | 89,60% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 298,09 Gb Total Space | 180,81 Gb Free Space | 60,66% Space Free | Partition Type: NTFS Computer Name: HAL | User Name: Reisender | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Reisender\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.) PRC - C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.) PRC - C:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) PRC - C:\Programme\Launch Manager\dsiwmis.exe (Dritek System Inc.) PRC - C:\Programme\Launch Manager\LMworker.exe (Dritek System Inc.) PRC - C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.) PRC - C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation) PRC - C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation) PRC - C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe (Realtek Semiconductor Corp.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Outlook Express\msimn.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl () MOD - C:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl () MOD - C:\Programme\Spybot - Search & Destroy 2\DEC150.bpl () MOD - C:\Programme\Adobe\Reader 9.0\Reader\ViewerPS.dll () MOD - C:\Programme\Spybot - Search & Destroy 2\sqlite3.dll () MOD - C:\Programme\Spybot - Search & Destroy 2\av\BDSmartDB.dll () MOD - C:\Programme\ReaConverter 6.9 Standard\context.dll () MOD - \\?\C:\Programme\Spybot - Search & Destroy 2\av\avxdisk.dll () MOD - C:\Programme\Launch Manager\CdDirIo.dll () MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU () MOD - C:\WINDOWS\system32\pdfcmnnt.dll () ========== Services (SafeList) ========== SRV - (SDWSCService) -- C:\Programme\Spybot File not found SRV - (SDUpdateService) -- C:\Programme\Spybot File not found SRV - (SDScannerService) -- C:\Programme\Spybot File not found SRV - (DsiWMIService) -- C:\Programme\Launch Manager\dsiwmis.exe (Dritek System Inc.) SRV - (UNS) -- C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation) SRV - (LMS) -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation) ========== Driver Services (SafeList) ========== DRV - (huawei_enumerator) -- system32\DRIVERS\ew_jubusenum.sys File not found DRV - (Changer) -- File not found DRV - (fgjamtc) -- C:\WINDOWS\system32\drivers\ejemfqq.sys (Malwarebytes Corporation) DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys (Malwarebytes Corporation) DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation) DRV - (IntcDAud) -- C:\WINDOWS\system32\drivers\IntcDAud.sys (Intel(R) Corporation) DRV - (RSUSBSTOR) -- C:\WINDOWS\system32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.) DRV - (k57w2k) -- C:\WINDOWS\system32\drivers\k57xp32.sys (Broadcom Corporation) DRV - (Impcd) -- C:\WINDOWS\system32\drivers\Impcd.sys (Intel Corporation) DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.) DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative) DRV - (HECI) -- C:\WINDOWS\system32\drivers\HECI.sys (Intel Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {AC5D4A4D-B1F0-4A3E-B195-F118A669EC29} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{AC5D4A4D-B1F0-4A3E-B195-F118A669EC29}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7NDKB_deTH559 IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\..\SearchScopes\{AC5D4A4D-B1F0-4A3E-B195-F118A669EC29}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7NDKB_deTH559 IE - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter}, CHR - homepage: hxxp://www.google.com/ CHR - Extension: Docs = C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\ CHR - Extension: Google Drive = C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\ CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\ CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\ CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\ O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [AlcWzrd] ALCWZRD.EXE File not found O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.) O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found O4 - HKLM..\Run: [SDTray] C:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware (cleanup)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\ Malwarebytes Anti-Malware \mbamdor.exe (Malwarebytes Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-3923369269-1443929604-1222631662-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O13 - gopher Prefix: missing O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B4A16E14-BBAD-4DD7-A9A2-EDCEFF33D0B9}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.07.12 19:01:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{b73a0c52-2ff6-11e2-a21c-60d81905232f}\Shell - "" = AutoRun O33 - MountPoints2\{b73a0c52-2ff6-11e2-a21c-60d81905232f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b73a0c52-2ff6-11e2-a21c-60d81905232f}\Shell\AutoRun\command - "" = E:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2014.05.30 16:03:29 | 012,589,848 | ---- | C] (Malwarebytes Corp.) -- C:\Dokumente und Einstellungen\Reisender\Desktop\mbar-1.07.0.1009.exe [2014.05.30 16:03:17 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Reisender\Desktop\OTL.exe [2014.05.30 15:49:25 | 012,589,848 | ---- | C] (Malwarebytes Corp.) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\mbar-1.07.0.1009.exe [2014.05.30 15:10:22 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\OTL.exe [2014.05.30 14:58:22 | 000,052,440 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\ejemfqq.sys [2014.05.30 14:11:20 | 000,000,000 | ---D | C] -- C:\Programme\Driver Cleaner Pro [2014.05.30 14:11:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Startmenü\Programme\Driver Cleaner Pro [2014.05.30 14:05:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\DCProSetup_15 [2014.05.30 13:24:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Audio_Realtek_6.0.1.6141_XPx86_A [2014.05.30 13:15:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Application_Acer_1.02.3501_XPx86_A [2014.05.30 12:28:35 | 000,146,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\portcls.sys [2014.05.30 12:28:35 | 000,146,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\portcls.sys [2014.05.30 12:28:35 | 000,049,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\stream.sys [2014.05.30 12:28:35 | 000,049,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\stream.sys [2014.05.30 12:28:34 | 000,141,056 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ks.sys [2014.05.30 12:28:34 | 000,141,056 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ks.sys [2014.05.30 12:28:34 | 000,060,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\drmk.sys [2014.05.30 12:28:34 | 000,060,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\drmk.sys [2014.05.30 12:28:27 | 005,630,168 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\drivers\RtkHDAud.sys [2014.05.30 12:28:26 | 000,087,256 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\RtkCoInstIIXP.dll [2014.05.30 12:28:26 | 000,011,368 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\RtkCoLDRXP.dll [2014.05.30 12:28:24 | 001,395,800 | ---- | C] (Creative Technology Ltd.) -- C:\WINDOWS\System32\drivers\Monfilt.sys [2014.05.30 12:28:21 | 001,691,480 | ---- | C] (Creative) -- C:\WINDOWS\System32\drivers\Ambfilt.sys [2014.05.30 12:28:02 | 002,080,472 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RtlExUpd.dll [2014.05.29 23:44:05 | 031,983,612 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\wdmr_18029.exe [2014.05.29 23:42:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\Adobe [2014.05.29 19:14:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Reisender\Recent [2014.05.29 15:23:03 | 000,110,296 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\MBAMSwissArmy.sys [2014.05.29 15:22:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware [2014.05.29 15:22:11 | 000,053,208 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamchameleon.sys [2014.05.29 15:22:11 | 000,023,256 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2014.05.29 15:22:11 | 000,000,000 | ---D | C] -- C:\Programme\ Malwarebytes Anti-Malware [2014.05.29 15:22:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2014.05.29 15:16:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Antivirus [2014.05.29 14:55:19 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2014.05.19 18:46:18 | 000,021,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidserv.dll [2014.05.19 18:46:14 | 000,014,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\kbdhid.sys [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2014.05.30 15:52:22 | 001,327,971 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\adwcleaner_3.211.exe [2014.05.30 15:52:22 | 001,327,971 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\adwcleaner_3.211.exe [2014.05.30 15:49:32 | 012,589,848 | ---- | M] (Malwarebytes Corp.) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\mbar-1.07.0.1009.exe [2014.05.30 15:49:32 | 012,589,848 | ---- | M] (Malwarebytes Corp.) -- C:\Dokumente und Einstellungen\Reisender\Desktop\mbar-1.07.0.1009.exe [2014.05.30 15:10:23 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\OTL.exe [2014.05.30 15:10:23 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Reisender\Desktop\OTL.exe [2014.05.30 14:58:22 | 000,052,440 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\ejemfqq.sys [2014.05.30 14:50:18 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2014.05.30 14:50:07 | 000,110,296 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\MBAMSwissArmy.sys [2014.05.30 14:49:55 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2014.05.30 14:18:18 | 000,516,760 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2014.05.30 14:18:18 | 000,493,388 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2014.05.30 14:18:18 | 000,100,868 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2014.05.30 14:18:18 | 000,083,932 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2014.05.30 14:11:21 | 000,001,602 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\Driver Cleaner Pro.lnk [2014.05.30 13:59:08 | 002,817,354 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\DCProSetup_15.zip [2014.05.30 13:23:28 | 089,902,220 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Audio_Realtek_6.0.1.6141_XPx86_A.zip [2014.05.30 13:15:29 | 008,137,636 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Application_Acer_1.02.3501_XPx86_A.zip [2014.05.30 12:44:20 | 032,185,053 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\WDM_R274.zip [2014.05.29 23:38:56 | 031,983,612 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\wdmr_18029.exe [2014.05.29 22:28:08 | 000,692,400 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2014.05.29 22:28:08 | 000,070,832 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2014.05.29 15:22:16 | 000,000,749 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2014.05.29 13:44:11 | 000,001,598 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\Systemwiederherstellng.lnk [2014.05.26 13:42:35 | 000,000,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Kiehl-mansol.iaf [2014.05.26 13:42:31 | 000,000,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\k.kiehl-mansol.de.iaf [2014.05.23 19:50:39 | 000,033,280 | ---- | M] () -- C:\WINDOWS\System32\drivers\5e353a88b896111d.sys [2014.05.17 13:24:04 | 000,003,570 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Anwendungsdaten\wklnhst.dat [2014.05.12 07:26:02 | 000,053,208 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamchameleon.sys [2014.05.12 07:25:54 | 000,023,256 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2014.05.10 19:58:45 | 000,000,718 | ---- | M] () -- C:\Dokumente und Einstellungen\Reisender\Anwendungsdaten\burnaware.ini [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2014.05.30 16:03:35 | 001,327,971 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\adwcleaner_3.211.exe [2014.05.30 15:52:21 | 001,327,971 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\adwcleaner_3.211.exe [2014.05.30 14:11:21 | 000,001,602 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\Driver Cleaner Pro.lnk [2014.05.30 13:59:07 | 002,817,354 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\DCProSetup_15.zip [2014.05.30 13:26:47 | 000,247,560 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTConvEQ.dat [2014.05.30 13:26:47 | 000,037,468 | ---- | C] () -- C:\WINDOWS\System32\drivers\RtPCEE3.DAT [2014.05.30 13:26:47 | 000,001,448 | ---- | C] () -- C:\WINDOWS\System32\drivers\RtHdatEx.dat [2014.05.30 13:26:47 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX3.dat [2014.05.30 13:26:47 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX2.dat [2014.05.30 13:26:47 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat [2014.05.30 13:26:47 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat [2014.05.30 13:26:47 | 000,000,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTHDAEQ1.dat [2014.05.30 13:23:28 | 089,902,220 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Audio_Realtek_6.0.1.6141_XPx86_A.zip [2014.05.30 13:15:22 | 008,137,636 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Application_Acer_1.02.3501_XPx86_A.zip [2014.05.30 12:44:20 | 032,185,053 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\WDM_R274.zip [2014.05.30 12:28:25 | 000,026,084 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTAIODAT.DAT [2014.05.29 15:22:16 | 000,000,749 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2014.05.29 13:43:50 | 000,001,598 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Desktop\Systemwiederherstellng.lnk [2014.05.26 13:42:35 | 000,000,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\Kiehl-mansol.iaf [2014.05.26 13:42:31 | 000,000,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Eigene Dateien\k.kiehl-mansol.de.iaf [2014.05.23 19:50:39 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\drivers\5e353a88b896111d.sys [2014.02.22 17:58:22 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2013.09.10 17:18:55 | 000,147,456 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2012.11.23 17:39:15 | 000,432,128 | ---- | C] () -- C:\WINDOWS\System32\Notepad1.exe [2012.11.23 17:39:06 | 000,432,128 | ---- | C] () -- C:\WINDOWS\Notepad1.exe [2012.10.11 16:53:14 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.10.10 16:25:37 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Anwendungsdaten\burnaware.ini [2012.10.10 15:44:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2012.10.10 15:23:07 | 000,005,515 | ---- | C] () -- C:\WINDOWS\fmachine.ini [2012.10.10 15:13:55 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2012.10.10 15:10:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL [2012.09.28 14:53:06 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat [2012.09.28 14:53:06 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat [2012.09.28 14:53:06 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat [2012.09.28 14:53:06 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat [2012.09.28 14:53:06 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat [2012.09.28 14:53:06 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat [2012.09.28 14:53:06 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat [2012.09.28 14:53:06 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat [2012.09.28 14:53:06 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat [2012.09.28 14:53:06 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat [2012.09.28 14:53:06 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat [2012.09.28 14:53:06 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat [2012.09.28 14:53:06 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat [2012.09.28 14:53:06 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat [2012.09.28 14:53:06 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat [2012.09.28 14:53:06 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat [2012.09.28 14:53:06 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat [2012.09.28 14:53:06 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat [2012.09.28 14:53:06 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2012.09.28 14:45:30 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\SUPPORT.INI [2012.09.28 13:04:20 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe [2012.09.28 12:22:46 | 000,003,570 | ---- | C] () -- C:\Dokumente und Einstellungen\Reisender\Anwendungsdaten\wklnhst.dat [2012.09.28 12:19:15 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2012.08.06 21:29:25 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2012.07.12 19:46:29 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.07.12 19:45:18 | 000,298,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.12 19:33:09 | 000,113,264 | ---- | C] () -- C:\WINDOWS\FixUVC.exe [2012.07.12 19:30:54 | 000,000,024 | ---- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat [2012.07.12 19:27:11 | 000,127,868 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng575.bin [2012.07.12 19:27:08 | 000,004,096 | ---- | C] ( ) -- C:\WINDOWS\System32\IGFXDEVLib.dll [2012.07.12 19:27:07 | 000,870,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng575.bin [2012.07.12 19:27:06 | 000,000,151 | ---- | C] () -- C:\WINDOWS\System32\GfxUI.exe.config [2012.07.12 19:03:58 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.07.12 18:57:39 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\mnmdd.dll [2012.07.12 18:56:40 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2012.07.12 14:41:07 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll ========== ZeroAccess Check ========== [2012.07.12 13:59:55 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 14:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.10.12 11:25:20 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both < End of report > Gruß Frank |
|
30.05.2014, 16:08
| #2 |
| /// TB-Ausbilder   | Syshost 32 Rootkit Probleme Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:  So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Danke für deine Mitarbeit! Logdatei von MBAM posten mit den Funden, die nicht entfernt werden! zudem noch FRST ausführen: Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Geändert von M-K-D-B (30.05.2014 um 16:17 Uhr) |
|
30.05.2014, 17:11
| #3 |
| | Syshost 32 Rootkit Probleme Hallo,
__________________hat sich erledigt! Ich habe das Mistding jetzt mit dem Anti-Rootkit von Malwarebytes entfernt bekommen. Danke! |
|
30.05.2014, 17:11
| #4 |
| /// TB-Ausbilder | Syshost 32 Rootkit Probleme Ich bin froh, dass wir helfen konnten  In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest: Lob, Kritik und Wünsche Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
|
| Themen zu Syshost 32 Rootkit Probleme |
| bho, cleaner pro, converter, error, fehler, firefox, flash player, fontcache, format, helper, hijack, hijackthis, homepage, iexplore.exe, launch, problem, realtek, registry, rootkit, rundll, scan, security, server, software, tcp, trojaner, udp, usb |
Linear-Darstellung
