| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: XP VM Telekom Abusemeldung Infektion: NecursWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.09.2015, 12:29
| #1 |
 |  XP VM Telekom Abusemeldung Infektion: Necurs Hallo, beim Rechner meiner Frau (Imac mit Fusion) gibt es anscheinend eine Infektion. Es handelt sich um eine Maschine, die meine Frau hauptsächlich beruflich (gewerblich, 1Frau Firma) nutzt. Ich habe gestern versucht die VM wieder nutzbar zu machen, ständig sehr hohe CPU Last, es ist kein gescheites Arbeiten möglich gewesen. Mir ist es Anfangs auch gelungen, eine Besserung zu erzielen - zumindest glaubte ich dies. Neben Aufräumaktionen habe ich auch mit Eset-Online nach Viren gesucht. Es wurde eine Nero.exe angemeckert, die ich auch habe löschen lassen. Der AWD-Cleaner hat auch Kleinigkeiten gefunden, die ich auch beheben lies. Bei Norton 360 war alles rot, Fehler konnte nicht behoben werden, da angeblich der Server nicht gefunden wurde (Telekom Online Version). Habe Norton dann deinstalliert, brachte aber nicht den erhofften Erfolg. Heute hat meine Frau mir dann diese Abusemail der Telekom weiter geleitet, die meinen Verdacht ja letztlich auch bestätigt hat. Sie scheint sich am 09.09 einen Necurs Virus eingefangen zu haben. Mir geht es nun darum, die VM noch mal für eine kurze Zeit (4-6 Wochen) nutzbar zu machen, damit ich in Ruhe den IMAC aufrüsten und eine neue VM (Win7) aufsetzen kann. Wie gehe ich am besten vor? |
|
11.09.2015, 13:27
| #2 |
| /// the machine /// TB-Ausbilder    | XP VM Telekom Abusemeldung Infektion: Necurs Hi,
__________________VM? Setz zurück auf nen Sicherungspunkt, geht am schnellsten. Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
__________________ |
|
11.09.2015, 23:10
| #3 |
| | XP VM Telekom Abusemeldung Infektion: Necurs Hallo Schrauber,
__________________nett das Du dich der Sache annimmst. Snapshot - immer diese Fremdworte. Du weist doch wie die Frauen sind... Ich werde heute Abend erst weiter machen können (Imac steht @home).Ich poste dann hier die Logs. Ist doch verdammt spät geworden, habe zuerst noch die Time-Maschine mal angeworfen, sicher ist sicher.. Habe die Benutzer und einige Dateinamen editiert! Hier nun die ersten Logs: FRST Logfile: Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:10-09-2015 01
durchgeführt von Benutzer (Administrator) auf IMAC (11-09-2015 23:44:36)
Gestartet von C:\Dokumente und Einstellungen\Benutzer\Desktop
Geladene Profile: Benutzer (Verfügbare Profile: Benutzer & Administrator)
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Microsoft Corporation) C:\WINDOWS\system32\scardsvr.exe
(Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Programme\Bonjour\mDNSResponder.exe
(Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
(NCP engineering GmbH) C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe
(NCP Engineering GmbH) C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe
() C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE
(Star Finanz-Software Entwicklung und Vertriebs GmbH) C:\Programme\StarMoney 9.0\ouservice\StarMoneyOnlineUpdate.exe
() C:\WINDOWS\Installer\{71B8CBED-7833-0164-B2E9-6B799290407F}\syshost.exe
(TeamViewer GmbH) C:\DOKUME~1\Benutzer\LOKALE~1\Temp\TeamViewer\TeamViewer_Service.exe
(Microsoft Corporation) C:\WINDOWS\system32\mqsvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\mqtgsvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\WgaTray.exe
(Microsoft Corporation) C:\WINDOWS\system32\dllhost.exe
(Microsoft Corporation) C:\WINDOWS\system32\msiexec.exe
(Microsoft Corporation) C:\WINDOWS\system32\PresentationHost.exe
(Geek Software GmbH) C:\Programme\PDF24\pdf24.exe
(Microsoft Corporation) C:\WINDOWS\system32\dllhost.exe
(NCP engineering GmbH) C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe
(Microsoft Corporation) C:\WINDOWS\system32\cmd.exe
(Microsoft Corporation) C:\WINDOWS\system32\cmd.exe
(Microsoft Corporation) C:\WINDOWS\system32\rundll32.exe
(Microsoft Corporation) C:\WINDOWS\system32\msiexec.exe
(Microsoft Corporation) C:\WINDOWS\system32\msiexec.exe
(Microsoft Corporation) C:\WINDOWS\system32\dllhost.exe
(Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe
(Apple Inc.) C:\Programme\iPod\bin\iPodService.exe
(Microsoft Corporation) C:\WINDOWS\system32\dllhost.exe
(Piriform Ltd) C:\Programme\CCleaner\CCleaner.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [PDFPrint] => C:\Programme\PDF24\pdf24.exe [163000 2012-12-12] (Geek Software GmbH)
HKLM\...\Run: [NcpPopup] => C:\Programme\Funkwerk Secure IPSec Client\ncppopup.exe [1192016 2010-05-21] (NCP engineering GmbH)
HKLM\...\Run: [NcpMonitor] => C:\Programme\Funkwerk Secure IPSec Client\ncpmon.exe [6644304 2010-09-16] (NCP engineering GmbH)
HKLM\...\Run: [NcpBudgetGui] => C:\Programme\Funkwerk Secure IPSec Client\NcpBudgetGui.exe [1026560 2010-05-21] (NCP engineering GmbH)
HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKLM\...\Run: [BluetoothAuthenticationAgent] => rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
HKLM\...\Run: [APSDaemon] => C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe [60712 2015-03-20] (Apple Inc.)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [959904 2014-05-08] (Adobe Systems Incorporated)
HKLM\...\Run: [QuickTime Task] => C:\Programme\QuickTime\qttask.exe [421888 2014-10-02] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] => C:\Programme\iTunes\iTunesHelper.exe [157480 2015-04-07] (Apple Inc.)
Winlogon\Notify\TPSvc: TPSvc.dll [X]
HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-20\...\RunOnce: [IE7] => rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart
HKU\S-1-5-20\...\RunOnce: [ShowDeskFix] => regsvr32 /s /n /i:u shell32
HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\...\Run: [CCleaner Monitoring] => C:\Programme\CCleaner\CCleaner.exe [6490904 2015-08-20] (Piriform Ltd)
HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-18\...\RunOnce: [IE7] => rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart
HKU\S-1-5-18\...\RunOnce: [ShowDeskFix] => regsvr32 /s /n /i:u shell32
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt..)
Winsock: Catalog5 04 C:\Programme\Bonjour\mdnsNSP.dll [121704 2011-08-31] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.253
Tcpip\..\Interfaces\{9E4B5FA8-2CA3-44A9-880D-D6293D9CFCF2}: [DhcpNameServer] 192.168.2.253
Tcpip\..\Interfaces\{AF1C944B-E391-4373-A608-487C428841AD}: [DhcpNameServer] 192.168.2.253
Internet Explorer:
==================
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Richtlinienbeschränkung <======= ACHTUNG
HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005 -> DefaultScope {C2BBD596-A21B-4DE4-BE5F-8A204306E9E8} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=1I7GPEA_deDE293
SearchScopes: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005 -> {C2BBD596-A21B-4DE4-BE5F-8A204306E9E8} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=1I7GPEA_deDE293
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre1.8.0_31\bin\ssv.dll [2015-02-09] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre1.8.0_31\bin\jp2ssv.dll [2015-02-09] (Oracle Corporation)
Toolbar: HKLM - Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx [2008-04-14] (Microsoft Corporation)
Toolbar: HKLM - Kein Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Keine Datei
Toolbar: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005 -> Kein Name - {D73E76A3-F902-45BD-8FC8-95AE8E014671} - Keine Datei
Toolbar: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005 -> Kein Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Keine Datei
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll [2006-10-26] (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL [2009-02-26] (Microsoft Corporation)
FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\eh3cnt2l.default
FF Plugin: @adobe.com/ShockwavePlayer -> C:\WINDOWS\system32\Adobe\Director\np32dsw.dll [2011-02-02] (Adobe Systems, Inc.)
FF Plugin: @Apple.com/iTunes,version=1.0 -> C:\Programme\iTunes\Mozilla Plugins\npitunes.dll [2014-10-30] ()
FF Plugin: @java.com/DTPlugin,version=11.31.2 -> C:\Programme\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [2015-02-09] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.31.2 -> C:\Programme\Java\jre1.8.0_31\bin\plugin2\npjp2.dll [2015-02-09] (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Programme\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-08-05] (Adobe Systems Inc.)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-04-03]
FF ExtraCheck: C:\Programme\mozilla firefox\defaults\pref\itms.js [2015-09-10]
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
"35c3220e9023d04c" => service konnte nicht entsperrt werden. <===== ACHTUNG
R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [60744 2015-01-19] (Apple Inc.)
R2 Bonjour Service; C:\Programme\Bonjour\mDNSResponder.exe [390504 2011-08-31] (Apple Inc.)
R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [540968 2015-04-07] (Apple Inc.)
R2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [335872 2006-10-26] (Microsoft Corporation) [Datei ist nicht signiert]
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [149160 2015-09-10] (Mozilla Foundation)
R2 MSMQ; C:\WINDOWS\system32\mqsvc.exe [4608 2008-04-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\WINDOWS\system32\mqtgsvc.exe [117248 2008-04-14] (Microsoft Corporation)
R2 ncpclcfg; C:\Programme\Funkwerk Secure IPSec Client\ncpclcfg.exe [133712 2010-05-21] (NCP engineering GmbH)
R2 ncprwsnt; C:\Programme\Funkwerk Secure IPSec Client\ncprwsnt.exe [1118288 2010-06-30] (NCP Engineering GmbH)
R2 NcpSec; C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE [93184 2010-05-07] () [Datei ist nicht signiert]
R2 Net Driver HPZ12; C:\WINDOWS\system32\HPZinw12.dll [45568 2011-04-13] (Hewlett-Packard) [Datei ist nicht signiert]
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
R2 Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.dll [55808 2011-04-13] (Hewlett-Packard) [Datei ist nicht signiert]
R2 StarMoney 9.0 OnlineUpdate; C:\Programme\StarMoney 9.0\ouservice\StarMoneyOnlineUpdate.exe [697488 2014-07-04] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
R2 syshost32; C:\WINDOWS\Installer\{71B8CBED-7833-0164-B2E9-6B799290407F}\syshost.exe [99840 2015-09-09] () [Datei ist nicht signiert]
R2 TeamViewer; c:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\teamviewer\TeamViewer_Service.exe [4234512 2015-06-18] (TeamViewer GmbH)
S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation)
S3 TPAutoConnSvc; "C:\Programme\VMware\VMware Tools\TPAutoConnSvc.exe" [X]
S3 TPVCGateway; "C:\Programme\VMware\VMware Tools\TPVCGateway.exe" [X]
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S3 applebt; C:\WINDOWS\System32\DRIVERS\applebt.sys [9088 2010-01-10] (Apple Inc.)
R1 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [25244 2008-06-13] (Adaptec)
S3 BCM43XX; C:\WINDOWS\System32\DRIVERS\bcmwl5.sys [2649216 2010-03-09] (Broadcom Corporation)
S3 BthKicker; C:\WINDOWS\System32\DRIVERS\BthKicker.sys [7424 2010-01-10] (Apple Inc.)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)
S3 CHIPDRIVE USB SmartCardReader; C:\WINDOWS\System32\DRIVERS\TwkUsb2K.sys [35275 2005-09-19] (SCM Microsystems Inc.) [Datei ist nicht signiert]
S3 cxbu1wdm; C:\WINDOWS\System32\DRIVERS\cxbu1wdm.sys [93312 2008-08-05] ( )
S3 DevUpper; C:\WINDOWS\System32\DRIVERS\iSightFT.sys [7680 2010-01-10] (Apple Inc.)
S1 eeCtrl; C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys [378672 2015-02-09] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [111408 2015-02-09] (Symantec Corporation)
R3 es1371; C:\WINDOWS\System32\drivers\es1371mp.sys [40832 2002-06-03] (Creative Technology Ltd.)
R3 gameenum; C:\WINDOWS\System32\DRIVERS\gameenum.sys [10624 2008-04-13] (Microsoft Corporation)
S3 IRRemoteFlt; C:\WINDOWS\System32\DRIVERS\IRFilter.sys [16512 2010-01-10] (Apple Inc.)
S3 iSightUpdate; C:\WINDOWS\System32\DRIVERS\iSightUP.sys [17664 2010-01-10] (Apple Inc.)
S3 KeyMagic; C:\WINDOWS\System32\DRIVERS\KeyMagic.sys [23552 2010-03-09] (Apple Inc.)
R3 MQAC; C:\WINDOWS\system32\drivers\mqac.sys [92544 2008-04-14] (Microsoft Corporation)
S3 NcpFilt; C:\WINDOWS\System32\DRIVERS\ncpvaxp.sys [81392 2010-07-02] (NCP Engineering GmbH)
R3 NcpFiltMP; C:\WINDOWS\System32\DRIVERS\ncpvaxp.sys [81392 2010-07-02] (NCP Engineering GmbH)
S3 ncpvaxp; C:\WINDOWS\System32\DRIVERS\ncpvaxp.sys [81392 2010-07-02] (NCP Engineering GmbH)
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)
R0 TwkMs; C:\WINDOWS\system32\Drivers\TwkMs.sys [4828 2003-04-24] (Towitoko AG)
S3 TWKSER2K; C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys [185611 2004-08-25] (SCM Microsystems Inc.) [Datei ist nicht signiert]
S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [44544 2012-09-28] (Apple, Inc.) [Datei ist nicht signiert]
R0 vmscsi; C:\WINDOWS\System32\DRIVERS\vmscsi.sys [14232 2014-11-20] (VMware, Inc.)
S3 vmusbmouse; C:\WINDOWS\System32\DRIVERS\vmusbmouse.sys [11928 2015-05-22] (VMware, Inc.)
S3 vmxnet; C:\WINDOWS\System32\DRIVERS\vmxnet.sys [30064 2015-05-22] (VMware, Inc.)
R3 vmx_svga; C:\WINDOWS\System32\DRIVERS\vmx_svga.sys [72256 2015-02-06] (VMware, Inc.)
S1 wceusbsh; C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [32000 2008-04-14] (Microsoft Corporation)
S3 yukonwxp; C:\WINDOWS\System32\DRIVERS\yk51x86.sys [285952 2007-12-06] (Marvell)
U5 35c3220e9023d04c; C:\Windows\System32\Drivers\35c3220e9023d04c.sys [86912 2015-09-09] () <===== ACHTUNG Necurs Rootkit?
U2 CertPropSvc; kein ImagePath
U5 nwlnkipx; C:\Windows\System32\Drivers\nwlnkipx.sys [88320 2008-04-14] (Microsoft Corporation)
U4 prl_fs; kein ImagePath
U4 PrlNP; kein ImagePath
S3 STHDA; system32\drivers\sthda.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-09-11 23:44 - 2015-09-11 23:44 - 00016084 _____ C:\Dokumente und Einstellungen\Benutzer\Desktop\FRST.txt
2015-09-11 23:44 - 2015-09-11 23:44 - 00000000 ____D C:\FRST
2015-09-11 23:43 - 2015-09-11 23:41 - 01692672 _____ (Farbar) C:\Dokumente und Einstellungen\Benutzer\Desktop\FRST.exe
2015-09-11 01:28 - 2008-04-14 05:25 - 00052992 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\i8042prt.sys
2015-09-11 01:28 - 2008-04-14 05:25 - 00052992 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\i8042prt.sys
2015-09-11 01:28 - 2008-04-14 05:19 - 00023552 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mouclass.sys
2015-09-11 01:28 - 2008-04-14 05:19 - 00023552 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\mouclass.sys
2015-09-11 01:22 - 2015-09-11 01:29 - 00000736 _____ C:\WINDOWS\setupact.log
2015-09-11 01:22 - 2015-09-11 01:22 - 00000000 _____ C:\WINDOWS\setuperr.log
2015-09-11 01:11 - 2015-09-11 01:33 - 00083785 _____ C:\WINDOWS\setupapi.log
2015-09-11 00:56 - 2015-09-11 11:34 - 00005054 _____ C:\WINDOWS\WindowsUpdate.log
2015-09-11 00:50 - 2015-09-11 00:50 - 00391590 _____ C:\Dokumente und Einstellungen\Benutzer\Eigene Dateien\cc_20150911_004932.reg
2015-09-11 00:41 - 2015-09-11 00:42 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\CCleaner
2015-09-11 00:41 - 2015-09-11 00:42 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\CCleaner
2015-09-11 00:41 - 2015-09-11 00:41 - 00000662 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk
2015-09-10 22:56 - 2015-09-10 22:56 - 00021412 _____ C:\Dokumente und Einstellungen\Benutzer\Thomas, 07.15.elfo
2015-09-10 19:53 - 2015-09-10 19:58 - 00000000 ____D C:\AdwCleaner
2015-09-10 19:46 - 2015-09-10 19:47 - 00000000 ____D C:\Programme\Mozilla Firefox
2015-09-09 22:19 - 2015-09-09 22:19 - 00028324 _____ C:\Dokumente und Einstellungen\Benutzer\Reuter AG, 08.15.elfo
2015-09-09 20:24 - 2015-09-09 20:24 - 00086912 _____ C:\WINDOWS\system32\Drivers\35c3220e9023d04c.sys
2015-09-09 20:23 - 2015-09-09 20:24 - 00000000 ___HD C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{2351CC44-7525-4784-9165-77EB7107F0EF}
2015-09-09 20:23 - 2015-09-09 20:24 - 00000000 ___HD C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{2351CC44-7525-4784-9165-77EB7107F0EF}
2015-09-09 13:41 - 2015-09-09 22:06 - 00020036 _____ C:\Dokumente und Einstellungen\Benutzer\XXXXXX, 08.15.elfo
2015-09-02 09:50 - 2015-09-02 09:52 - 00030148 _____ C:\Dokumente und Einstellungen\Benutzer\XXXXXX, 07.15.elfo
2015-09-02 09:40 - 2015-09-02 09:40 - 00024408 _____ C:\Dokumente und Einstellungen\Benutzer\XXXXXX, ZM 07.15.elfo
2015-08-14 10:36 - 2015-08-14 10:38 - 00028916 _____ C:\Dokumente und Einstellungen\Benutzer\XXXXXX, 07.15 Berichtigung.elfo
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-09-11 23:44 - 2011-02-18 14:35 - 00000000 ____D C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp
2015-09-11 23:36 - 2011-02-17 22:53 - 00000159 _____ C:\WINDOWS\wiadebug.log
2015-09-11 23:36 - 2011-02-17 22:53 - 00000050 _____ C:\WINDOWS\wiaservc.log
2015-09-11 23:36 - 2004-08-04 14:00 - 00002278 _____ C:\WINDOWS\system32\wpa.dbl
2015-09-11 23:35 - 2011-02-17 22:13 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2015-09-11 11:34 - 2011-02-18 14:35 - 00000190 ___SH C:\Dokumente und Einstellungen\Benutzer\ntuser.ini
2015-09-11 11:34 - 2011-02-17 22:13 - 00032446 _____ C:\WINDOWS\SchedLgU.Txt
2015-09-11 11:19 - 2012-04-14 19:49 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2015-09-11 01:31 - 2012-06-16 00:46 - 00065536 _____ C:\WINDOWS\system32\config\ThinPrint.evt
2015-09-11 01:31 - 2011-02-18 13:24 - 00065536 _____ C:\WINDOWS\system32\config\ODiag.evt
2015-09-11 01:31 - 2011-02-18 02:00 - 00065536 _____ C:\WINDOWS\system32\config\WindowsPowerShell.evt
2015-09-11 01:31 - 2011-02-17 22:56 - 00065536 _____ C:\WINDOWS\system32\config\EventForwarding-Operational.Evt
2015-09-11 01:31 - 2011-02-17 22:45 - 00065536 _____ C:\WINDOWS\system32\config\Internet.evt
2015-09-11 01:31 - 2007-05-24 11:49 - 00000000 ___RD C:\Programme
2015-09-11 01:26 - 2011-02-17 22:49 - 01216288 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2015-09-11 00:45 - 2008-01-29 02:36 - 00000000 ____D C:\WINDOWS\Minidump
2015-09-11 00:45 - 2007-05-24 15:50 - 00000000 ____D C:\WINDOWS\system32\LogFiles
2015-09-11 00:42 - 2011-02-18 03:05 - 00000000 ____D C:\Programme\CCleaner
2015-09-11 00:41 - 2011-02-17 22:49 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme
2015-09-11 00:41 - 2011-02-17 22:49 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme
2015-09-11 00:38 - 2007-05-24 14:51 - 00000000 ____D C:\Programme\WISO
2015-09-11 00:29 - 2011-02-17 22:49 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
2015-09-11 00:29 - 2011-02-17 22:49 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
2015-09-10 22:56 - 2013-11-09 12:34 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\boost_interprocess
2015-09-10 22:56 - 2013-11-09 12:34 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\boost_interprocess
2015-09-10 22:56 - 2011-02-18 14:35 - 00000000 ____D C:\Dokumente und Einstellungen\Benutzer
2015-09-10 21:55 - 2011-02-19 01:19 - 00000000 ____D C:\Programme\Norton 360
2015-09-10 21:47 - 2007-05-24 13:46 - 00000000 ___HD C:\Programme\InstallShield Installation Information
2015-09-10 21:44 - 2011-02-19 01:19 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Symantec Shared
2015-09-10 19:46 - 2015-01-13 00:54 - 00000000 ____D C:\Programme\Mozilla Maintenance Service
2015-09-08 23:12 - 2014-03-22 23:27 - 00000000 ____D C:\Programme\StarMoney 9.0
2015-09-03 09:18 - 2012-09-28 14:32 - 00000000 ____D C:\Scanner
2015-09-01 09:27 - 2011-02-18 14:47 - 00000000 ____D C:\Dokumente und Einstellungen\Benutzer\Eigene Dateien\Mein Steuer-Sparbuch Heute
2015-08-14 11:06 - 2015-01-13 00:54 - 00000710 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Mozilla Firefox.lnk
2015-08-14 11:06 - 2015-01-13 00:54 - 00000710 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Mozilla Firefox.lnk
2015-08-14 11:06 - 2015-01-13 00:54 - 00000704 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Mozilla Firefox.lnk
2015-08-12 11:55 - 2011-02-19 01:19 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2015-08-12 11:55 - 2011-02-19 01:19 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2012-12-10 16:20 - 2012-12-10 16:20 - 0275898 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Bitmapwhite.bmp
2012-12-10 16:20 - 2012-12-10 16:20 - 0089816 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Elster-Bar.bmp
2012-12-10 16:20 - 2012-12-10 16:20 - 0000318 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ELSTER-Stick Icon 16x16x16.ico
2012-12-10 16:20 - 2012-12-10 16:20 - 0174680 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ELSTER.bmp
2012-12-10 16:20 - 2012-12-10 16:20 - 0003262 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Elster.ico
2012-12-10 16:20 - 2012-12-10 16:20 - 0001406 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Elster16x16-256.ico
2012-12-10 16:20 - 2012-12-10 16:20 - 0003262 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Elster32x32-256.ico
2012-12-10 16:20 - 2012-12-10 16:20 - 0006894 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Elster32x32-256.old.ico
2012-12-10 16:20 - 2012-12-10 16:20 - 0324137 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\elster_1001.jpg
2012-12-10 16:20 - 2012-12-10 16:20 - 0109477 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Nutzungsbedingungen GuDMW SW deutsch.rtf
2012-12-10 16:20 - 2012-12-10 16:20 - 0127002 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\offen0.jpg
2012-12-10 16:20 - 2012-12-10 16:20 - 0009352 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\ST-GuDStarSignUSBTokenfuerELSTER.jpg
2012-12-10 16:20 - 2012-12-10 16:20 - 0023552 _____ () C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Thumbs.db
2011-02-19 02:54 - 2014-04-02 13:06 - 0001188 _____ () C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\crc32list11.txt
2011-10-25 11:41 - 2011-11-01 10:28 - 0007680 _____ () C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2011-04-19 00:42 - 2011-04-27 23:51 - 0001940 _____ () C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini
Einige Dateien in TEMP:
====================
C:\Dokumente und Einstellungen\Benutzer_Admin\Lokale Einstellungen\Temp\ose00001.exe
C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\sqlite3.dll
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert
==================== Ende vom FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-09-2015 01
durchgeführt von Benutzer (2015-09-11 23:45:20)
Gestartet von C:\Dokumente und Einstellungen\Benutzer\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) (2011-02-17 21:09:45)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-1292428093-1645522239-1177238915-500 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\Administrator
Benutzer (S-1-5-21-1292428093-1645522239-1177238915-1005 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\Benutzer
Gast (S-1-5-21-1292428093-1645522239-1177238915-501 - Limited - Disabled)
Hilfeassistent (S-1-5-21-1292428093-1645522239-1177238915-1000 - Limited - Disabled)
SUPPORT_388945a0 (S-1-5-21-1292428093-1645522239-1177238915-1002 - Limited - Disabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
FW: FEC Secure IPSec Client Firewall (Disabled) {33F684F9-95EF-4FC3-9196-012CF0A4D310}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
2007 Microsoft Office system (HKLM\...\PROHYBRIDR) (Version: 12.0.6612.1000 - Microsoft Corporation)
32 Bit HP CIO Components Installer (Version: 8.1.2 - Hewlett-Packard) Hidden
Adobe Flash Player 18 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 18.0.0.232 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.08) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.5 (HKLM\...\Adobe Shockwave Player) (Version: 11.5.9.620 - Adobe Systems, Inc.)
Apple Application Support (32-Bit) (HKLM\...\{AFA1153A-F547-409B-B837-3A0D6C5A3FEC}) (Version: 3.1.3 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{E1DB0812-2D60-43DB-AE09-6C7027D93B28}) (Version: 8.1.1.3 - Apple Inc.)
Apple Software Update (HKLM\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Bonjour (HKLM\...\{79155F2B-9895-49D7-8612-D92580E0DE5B}) (Version: 3.0.0.10 - Apple Inc.)
CCleaner (HKLM\...\CCleaner) (Version: 5.09 - Piriform)
CHIPDRIVE extern/intern/micro treiber 3.1 (HKLM\...\{AA898D01-D4E3-43C6-8E25-70CA660B9F16}) (Version: 3.04.0001 - SCM Microsystems)
Client für die Windows-Rechteverwaltung mit Service Pack 2 (HKLM\...\{863B903C-4D08-4A9C-9081-EF6A9F7E705E}) (Version: 5.2.95 - Microsoft)
ElsterFormular (HKLM\...\ElsterFormular) (Version: 16.0.20150113 - Landesfinanzdirektion Thüringen)
FEC Secure IPSec Client (HKLM\...\NCP RWS/GA) (Version: 2.23 - Funkwerk Enterprise Communications GmbH)
G&D StarSign USB Token für ELSTER (HKLM\...\InstallShield_{636BAD38-26BC-4BD8-802B-F18ED2D48D65}) (Version: 1.1.3 - Secunet Security Networks AG)
G&D StarSign USB Token für ELSTER (Version: 1.1.3 - Secunet Security Networks AG) Hidden
Internet Explorer 7 (Version: - ) Hidden
iTunes (HKLM\...\{CE1F04C7-79BC-4219-BE6A-BA490224D4B5}) (Version: 12.1.2.27 - Apple Inc.)
Java 8 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)
Microsoft .NET Framework 1.1 (HKLM\...\Microsoft .NET Framework 1.1 (1033)) (Version: - )
Microsoft .NET Framework 1.1 German Language Pack (HKLM\...\{E78BFA60-5393-4C38-82AB-E8019E464EB4}) (Version: 1.1.4322 - Microsoft)
Microsoft .NET Framework 1.1 Security Update (KB2698023) (HKLM\...\M2698023) (Version: - )
Microsoft .NET Framework 1.1 Security Update (KB2742597) (HKLM\...\M2742597) (Version: - )
Microsoft .NET Framework 2.0 Service Pack 2 (HKLM\...\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}) (Version: 2.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU (HKLM\...\{C314CE45-3392-3B73-B4E1-139CD41CA933}) (Version: 2.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.0 Service Pack 2 (HKLM\...\{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}) (Version: 3.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU (HKLM\...\{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}) (Version: 3.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU (HKLM\...\Microsoft .NET Framework 3.5 Language Pack SP1 - deu) (Version: - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (HKLM\...\Microsoft .NET Framework 3.5 SP1) (Version: - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM\...\{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft)
Microsoft Office File Validation Add-In (HKLM\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.30514.0 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM\...\{6AFCA4E1-9B78-3640-8F72-A7BF33448200}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Mozilla Firefox 40.0.3 (x86 de) (HKLM\...\Mozilla Firefox 40.0.3 (x86 de)) (Version: 40.0.3 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 40.0.3.5716 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
NVIDIA Drivers (HKLM\...\NVIDIA Drivers) (Version: 1.8 - )
PDF24 Creator 5.2.0 (HKLM\...\{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1) (Version: - PDF24.org)
QuickTime 7 (HKLM\...\{3D2CBC2C-65D4-4463-87AB-BB2C859C1F3E}) (Version: 7.76.80.95 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 5.10.0.5936 - Realtek Semiconductor Corp.)
Rückwärtskompatibilität des Clients für die Windows-Rechteverwaltung SP2 (HKLM\...\{EC905264-BCFE-423B-9C42-C3A106266790}) (Version: 5.2.95 - Microsoft)
Sage KHK Classic Line 2000 - Workstation 2.0.1 (HKLM\...\Sage KHK Classic Line 2000) (Version: - )
Sereby's XP SP3 Updatepack Version 3.8.6 (HKLM\...\XPSP3UPPACK) (Version: Version 3.8.6 - Sereby)
Sicherheitsupdate für Windows Internet Explorer 7 (KB2482017) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows Internet Explorer 7 (KB2530548) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows Internet Explorer 7 (KB2544521) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows Internet Explorer 7 (KB2618444) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531) (HKLM\...\KB2510531-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521) (HKLM\...\KB2544521-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444) (HKLM\...\KB2618444-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157) (HKLM\...\KB2675157-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2699988) (HKLM\...\KB2699988-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842) (HKLM\...\KB2744842-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465) (HKLM\...\KB2761465-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2792100) (HKLM\...\KB2792100-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052) (HKLM\...\KB2797052-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329) (HKLM\...\KB2799329-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381) (HKLM\...\KB982381-IE8) (Version: 1 - Microsoft Corporation)
StarMoney (Version: 2.0 - StarFinanz) Hidden
StarMoney (Version: 3.0.0.124 - StarFinanz) Hidden
StarMoney (Version: 4.0.4.16 - StarFinanz) Hidden
StarMoney 9.0 (HKLM\...\{38D04C36-0AD7-4476-87DA-42975C46ADE1}) (Version: 9.0 - Star Finanz GmbH)
Turbo Lister 2 (HKLM\...\{8927E07C-97F7-4A54-88FB-D976F50DD46E}) (Version: 2.00.0000 - eBay Inc.)
Update for 2007 Microsoft Office System (KB967642) (HKLM\...\{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft)
Update für Microsoft Office Excel 2007 Help (KB963678) (HKLM\...\{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}) (Version: - Microsoft)
Update für Microsoft Office Outlook 2007 Help (KB963677) (HKLM\...\{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{F6828576-6F79-470D-AB50-69D1BBADBD30}) (Version: - Microsoft)
Update für Microsoft Office Powerpoint 2007 Help (KB963669) (HKLM\...\{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{EA160DA3-E9B5-4D03-A518-21D306665B96}) (Version: - Microsoft)
Update für Microsoft Office Word 2007 Help (KB963665) (HKLM\...\{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{38472199-D7B6-4833-A949-10E4EE6365A1}) (Version: - Microsoft)
Update für Windows Internet Explorer 8 (KB2598845) (HKLM\...\KB2598845-IE8) (Version: 1 - Microsoft Corporation)
Update für Windows Internet Explorer 8 (KB2632503) (HKLM\...\KB2632503-IE8) (Version: 1 - Microsoft Corporation)
USB CCID Smartcard Reader - Version 1.2.0.5 (HKLM\...\{939913F9-F134-4E9E-B879-BE6755B69952}) (Version: 3.0.0.0 - USB CCID)
WebFldrs XP (Version: 9.50.7523 - Microsoft Corporation) Hidden
Windows Genuine Advantage Notifications (KB905474) (HKLM\...\WgaNotify) (Version: 1.9.0040.0 - Microsoft Corporation)
Windows Internet Explorer 8 (HKLM\...\ie8) (Version: 20090308.140743 - Microsoft Corporation)
Windows Management Framework Core (HKLM\...\KB968930) (Version: - Microsoft Corporation)
Windows-Treiberpaket - Apple Inc. (applebt) Bluetooth (11/23/2009 3.0.0.4) (HKLM\...\5405F83664E016638462F8F8C1DAE59D04942778) (Version: 11/23/2009 3.0.0.4 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. (AppleUSBEthernet) Net (01/11/2008 3.4.3.18) (HKLM\...\AD3493E108434977125BBF78F47699626F8AF64B) (Version: 01/11/2008 3.4.3.18 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Bluetooth Enabler (06/27/2007 2.0.0.1) (HKLM\...\5F8BE32FAE3D6BC77B512F7B0624D7B6C8A26EFB) (Version: 06/27/2007 2.0.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Broadcom Bluetooth (11/23/2009 3.1.0.1) (HKLM\...\68446A4387EFABF44AE4C69CC9B6F9EDF8F10D7A) (Version: 11/23/2009 3.1.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Built-in iSight (10/25/2007 2.0.1.0) (HKLM\...\9324ED54E32F5399037F87E076CA01C6CEB92830) (Version: 10/25/2007 2.0.1.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Display (01/23/2009 3.0.0.0) (HKLM\...\C5CE3BA75A23622D2140C5D5D0998C07DDC4CF1C) (Version: 01/23/2009 3.0.0.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple IR Receiver (02/21/2008 2.0.4.0) (HKLM\...\4D00971668041EDAD7097C5827D1739F03B9E5D7) (Version: 02/21/2008 2.0.4.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Keyboard (04/06/2009 3.0.0.0) (HKLM\...\F2AE684ADF164A03D9FFABF28F04DDE05ED67BC5) (Version: 04/06/2009 3.0.0.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Multitouch (09/10/2009 3.0.0.0) (HKLM\...\CD6212024668E03491C257CA53617893F2E8E924) (Version: 09/10/2009 3.0.0.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Multitouch (10/05/2010 3.2.0.1) (HKLM\...\AEB482706002E9220FBFB86D4A1D24257F71A3D4) (Version: 10/05/2010 3.2.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Multitouch Mouse (09/10/2009 3.0.0.0) (HKLM\...\6B401A4481C0B1B07B5D7425378A5C00FF7D75DE) (Version: 09/10/2009 3.0.0.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Multitouch Mouse (10/05/2010 3.2.0.1) (HKLM\...\A7A7D84907D2DCB34930D77C6BA911E3834C1E34) (Version: 10/05/2010 3.2.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple ODD (01/17/2008 2.0.2.2) (HKLM\...\B4AC4F962DDC0DD6B71FCF20B8F2F694214FAE69) (Version: 01/17/2008 2.0.2.2 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple ODD (05/17/2010 3.1.0.0) (HKLM\...\2E2B6DCC02509BB8D2629A009DE8B5C3055B6779) (Version: 05/17/2010 3.1.0.0 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Trackpad (07/13/2009 3.0.0.1) (HKLM\...\A0DAD483951AB3046050D68A2A1D8CEB4A7C61EE) (Version: 07/13/2009 3.0.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Trackpad Enabler (07/13/2009 3.0.0.1) (HKLM\...\111E266FDD1556398EFC13BE47678F96E8497682) (Version: 07/13/2009 3.0.0.1 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Wireless Mouse (11/30/2009 3.0.0.6) (HKLM\...\DE32692B1421420518B0CA8EEDD6DF2A494F279F) (Version: 11/30/2009 3.0.0.6 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. Apple Wireless Trackpad (08/24/2010 3.1.0.7) (HKLM\...\CFC3D985EA69596C8BE0A30313010FCC8CE2C70F) (Version: 08/24/2010 3.1.0.7 - Apple Inc.)
Windows-Treiberpaket - Apple Inc. System (08/22/2008 2.1.1.1) (HKLM\...\F24CB85E5983448F6319803791DEACED91E6565B) (Version: 08/22/2008 2.1.1.1 - Apple Inc.)
Windows-Treiberpaket - Atheros (AR5416) Net (11/18/2009 7.7.0.429) (HKLM\...\059B155261B840AB89EA7581CAFC636EEB1D4364) (Version: 11/18/2009 7.7.0.429 - Atheros)
Windows-Treiberpaket - Broadcom (b57w2k) Net (05/29/2009 12.2.0.2) (HKLM\...\E3DBAC6F911B4848B65E4B1B83BEF7CED25B4928) (Version: 05/29/2009 12.2.0.2 - Broadcom)
Windows-Treiberpaket - Broadcom (BCM43XX) Net (08/25/2009 5.60.18.9) (HKLM\...\E90BBBBF2BC7869A101909EA920E455DC7354A38) (Version: 08/25/2009 5.60.18.9 - Broadcom)
Windows-Treiberpaket - CirrusLogic (HdAudAddService) MEDIA (04/28/2010 1.0.0.32) (HKLM\...\F7D4BBE83ED347867851C05163103672591D5E3C) (Version: 04/28/2010 1.0.0.32 - CirrusLogic)
Windows-Treiberpaket - Intel (E1000) Net (11/07/2007 8.10.1.0) (HKLM\...\627745F8E8BB901B043047C3E308B4A76C1194FE) (Version: 11/07/2007 8.10.1.0 - Intel)
Windows-Treiberpaket - Intel (e1express) Net (02/06/2008 9.12.18.0) (HKLM\...\78C67451B87511098A9A0EC86E75B99B12298F5C) (Version: 02/06/2008 9.12.18.0 - Intel)
Windows-Treiberpaket - Intel (e1kexpress) Net (07/22/2008 10.3.45.0) (HKLM\...\675AAC36E980D647C94EAFFB2F929F247E711708) (Version: 07/22/2008 10.3.45.0 - Intel)
Windows-Treiberpaket - Intel (e1qexpress) Net (08/05/2008 10.3.49.0) (HKLM\...\7BD968405DE73C7E0F8E489DB5A5853A6CCB8D1D) (Version: 08/05/2008 10.3.49.0 - Intel)
Windows-Treiberpaket - Intel (e1yexpress) Net (06/13/2008 9.52.9.0) (HKLM\...\A06888013552B918232820F81FDBA706F5CAAD39) (Version: 06/13/2008 9.52.9.0 - Intel)
Windows-Treiberpaket - Intel Net (01/08/2008 8.3.9.0) (HKLM\...\2AC97D2605162B73D046D68013D1030CB7CFB87E) (Version: 01/08/2008 8.3.9.0 - Intel)
Windows-Treiberpaket - Intel Net (02/06/2008 9.12.17.0) (HKLM\...\B345101E6CC8B2FD9765620B9C7BCD3D7002BE6D) (Version: 02/06/2008 9.12.17.0 - Intel)
Windows-Treiberpaket - Intel Net (07/16/2008 9.52.10.0) (HKLM\...\065B919FD23D12E588F6E2BFB21F7836E2F0E704) (Version: 07/16/2008 9.52.10.0 - Intel)
Windows-Treiberpaket - Intel Net (07/22/2008 10.3.45.0) (HKLM\...\9747248FCA6A074E791AABC17F527823A8225756) (Version: 07/22/2008 10.3.45.0 - Intel)
Windows-Treiberpaket - Intel Net (08/05/2008 10.3.49.0) (HKLM\...\1E934494E1FDB938ED1D9B958D5D5D465A07F06A) (Version: 08/05/2008 10.3.49.0 - Intel)
Windows-Treiberpaket - Intel System (07/20/2007 1.2.76.0) (HKLM\...\82BE89CA9B7493FA05D2D4D32B415CF07EA08B47) (Version: 07/20/2007 1.2.76.0 - Intel)
Windows-Treiberpaket - Marvell (yukonwxp) Net (03/23/2007 10.12.7.3) (HKLM\...\6AB59209597E0F6B986EC8E976521FDF0A696C9D) (Version: 03/23/2007 10.12.7.3 - Marvell)
WinRAR 4.11 (32-Bit) (HKLM\...\WinRAR archiver) (Version: 4.11.0 - win.rar GmbH)
WISO Steuer-Sparbuch 2013 (HKLM\...\{D6CC2FAF-F827-4091-96A1-D32CC9B69C79}) (Version: 20.03.8202 - Buhl Data Service GmbH)
WISO Steuer-Sparbuch 2014 (HKLM\...\{E8D27051-54C4-4606-B89A-C39898317946}) (Version: 21.05.8586 - Buhl Data Service GmbH)
WISO Steuer-Sparbuch 2015 (HKLM\...\{22BF138D-EB9B-4003-97D6-6CAD5657BD6A}) (Version: 22.00.8811 - Buhl Data Service GmbH)
XML Paper Specification Shared Components Language Pack 1.0 (Version: - Microsoft Corporation) Hidden
XML Paper Specification Shared Components Pack 1.0 (Version: - Microsoft Corporation) Hidden
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
CustomCLSID: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005_Classes\CLSID\{F5682F95-5ABA-46D8-9993-18E7D6B3AE9E}\InprocServer32 -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{2351CC44-7525-4784-9165-77EB7107F0EF}\ksuser.dll (crpMr ntoroCsaotofioi)
==================== Wiederherstellungspunkte =========================
13-06-2015 18:44:29 Systemprüfpunkt
15-06-2015 10:10:18 Systemprüfpunkt
16-06-2015 10:58:03 Systemprüfpunkt
17-06-2015 12:48:02 Systemprüfpunkt
18-06-2015 14:26:13 Systemprüfpunkt
22-06-2015 08:24:40 Systemprüfpunkt
23-06-2015 09:35:34 Systemprüfpunkt
24-06-2015 11:45:46 Systemprüfpunkt
25-06-2015 11:51:43 Systemprüfpunkt
29-06-2015 15:24:53 Systemprüfpunkt
01-07-2015 18:21:59 Systemprüfpunkt
03-07-2015 09:53:30 Systemprüfpunkt
06-07-2015 12:38:55 Systemprüfpunkt
07-07-2015 13:03:45 Systemprüfpunkt
09-07-2015 13:10:11 Systemprüfpunkt
10-07-2015 12:49:09 Software Distribution Service 3.0
14-07-2015 13:08:46 Systemprüfpunkt
15-07-2015 14:27:39 Systemprüfpunkt
17-07-2015 10:41:59 Systemprüfpunkt
20-07-2015 14:56:15 Systemprüfpunkt
21-07-2015 15:14:18 Systemprüfpunkt
23-07-2015 11:11:30 Systemprüfpunkt
28-07-2015 15:12:53 Systemprüfpunkt
10-08-2015 17:48:43 Systemprüfpunkt
12-08-2015 11:53:59 Systemprüfpunkt
13-08-2015 14:01:09 Systemprüfpunkt
14-08-2015 15:48:02 Systemprüfpunkt
17-08-2015 09:41:23 Systemprüfpunkt
18-08-2015 10:53:19 Systemprüfpunkt
19-08-2015 11:26:55 Systemprüfpunkt
20-08-2015 11:54:28 Systemprüfpunkt
21-08-2015 14:52:47 Systemprüfpunkt
24-08-2015 09:59:24 Systemprüfpunkt
25-08-2015 11:11:08 Systemprüfpunkt
26-08-2015 14:14:48 Systemprüfpunkt
28-08-2015 11:33:59 Systemprüfpunkt
31-08-2015 11:38:54 Systemprüfpunkt
01-09-2015 21:33:16 Systemprüfpunkt
02-09-2015 21:47:08 Systemprüfpunkt
04-09-2015 09:04:40 Systemprüfpunkt
07-09-2015 10:01:29 Systemprüfpunkt
08-09-2015 10:23:20 Systemprüfpunkt
09-09-2015 15:27:48 Systemprüfpunkt
10-09-2015 21:48:00 Entfernt StarMoney
10-09-2015 21:48:52 Windows Home Server-Connector wurde entfernt
11-09-2015 00:29:41 Entfernt WISO Steuer-Sparbuch 2011
11-09-2015 00:38:08 Entfernt WISO Steuer-Sparbuch 2012
==================== Hosts Inhalt: ==========================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2004-08-04 14:00 - 2015-09-10 21:49 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1 localhost
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\WINDOWS\Tasks\AppleSoftwareUpdate.job => C:\Programme\Apple Software Update\SoftwareUpdate.exe
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2015-03-20 18:12 - 2015-03-20 18:12 - 00073544 _____ () C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
2015-03-20 18:12 - 2015-03-20 18:12 - 01044776 _____ () C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
2011-09-14 02:10 - 2010-06-09 12:45 - 00097792 _____ () C:\Programme\Funkwerk Secure IPSec Client\ncpmif32.dll
2011-09-14 02:10 - 2009-09-23 15:35 - 00129536 _____ () C:\Programme\Funkwerk Secure IPSec Client\ncpbudget2008.dll
2011-09-14 02:10 - 2010-05-07 12:08 - 00093184 _____ () C:\Programme\Funkwerk Secure IPSec Client\NCPSEC.EXE
2011-09-14 02:10 - 2010-06-24 11:03 - 01578496 _____ () C:\Programme\Funkwerk Secure IPSec Client\ncpgacc.dll
2014-07-23 23:10 - 2011-01-13 11:44 - 00232800 _____ () C:\Programme\StarMoney 9.0\ouservice\PATCHW32.dll
2008-05-29 22:22 - 2012-02-17 20:55 - 00166912 _____ () C:\Programme\WinRAR\rarext.dll
2011-09-14 02:10 - 2002-06-28 11:16 - 00151552 _____ () C:\Programme\Funkwerk Secure IPSec Client\ncpcfg.dll
2011-09-14 02:10 - 2009-10-21 13:29 - 00139264 _____ () C:\Programme\Funkwerk Secure IPSec Client\ncpdlg.dll
2015-08-24 20:28 - 2015-08-24 20:28 - 00057344 _____ () C:\Programme\CCleaner\lang\lang-1031.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup => ""="Driver Group"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WdfLoadGroup => ""="Driver Group"
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\...\aastra-detewe.de -> hxxps://portal.aastra-detewe.de
IE trusted site: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\...\aastra.de -> hxxp://www.aastra.de
IE trusted site: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\...\n24.de -> hxxp://www.n24.de
IE trusted site: HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\...\online-mahnantrag.de -> hxxps://www.online-mahnantrag.de
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-1292428093-1645522239-1177238915-1005\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 192.168.2.253
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
DomainProfile\AuthorizedApplications: [C:\WINDOWS\system32\mqsvc.exe] => Enabled:Message Queuing
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\mqsvc.exe] => Enabled:Message Queuing
StandardProfile\AuthorizedApplications: [C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE] => Enabled:Microsoft Office Outlook
StandardProfile\AuthorizedApplications: [C:\Programme\Bonjour\mDNSResponder.exe] => Enabled:Dienst "Bonjour"
StandardProfile\AuthorizedApplications: [C:\Programme\StarMoney 9.0\ouservice\StarMoneyOnlineUpdate.exe] => Enabled:StarMoney 9.0 OnlineUpdate
StandardProfile\AuthorizedApplications: [C:\Programme\StarMoney 9.0\app\StarMoney.exe] => Enabled:StarMoney 9.0
StandardProfile\AuthorizedApplications: [C:\Programme\iTunes\iTunes.exe] => Enabled:iTunes
StandardProfile\AuthorizedApplications: [C:\Programme\Funkwerk Secure IPSec Client\NCPMON.exe] => Enabled:Secure Client Monitor
StandardProfile\AuthorizedApplications: [C:\Programme\Mozilla Firefox\firefox.exe] => Enabled:Firefox (C:\Programme\Mozilla Firefox)
DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [5985:TCP] => Disabled:Windows-Remoteverwaltung
StandardProfile\GloballyOpenPorts: [80:TCP] => Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend)
StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Systemfehler:
=============
Error: (09/11/2015 11:35:49 PM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 11:35:49 PM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 11:35:49 PM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 10:11:16 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 10:11:16 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 10:11:16 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 01:37:22 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 01:37:22 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 01:37:22 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Error: (09/11/2015 01:32:26 AM) (Source: SCardSvr) (EventID: 602) (User: )
Description: Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen: Das System kann den angegebenen Pfad nicht finden.
Microsoft Office:
=========================
==================== Memory info ===========================
Processor: Intel(R) Core(TM) i5-2400S CPU @ 2.50GHz
Prozentuale Nutzung des RAM: 27%
Installierter physikalischer RAM: 2047.48 MB
Verfügbarer physikalischer RAM: 1475.39 MB
Summe virtueller Speicher: 3940.14 MB
Verfügbarer virtueller Speicher: 3536.24 MB
==================== Laufwerke ================================
Drive c: (BOOTCAMP) (Fixed) (Total:74.73 GB) (Free:11.83 GB) NTFS ==>[Laufwerk mit Startkomponenten (Windows XP)]
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (Size: 149.1 GB) (Disk ID: 94A394A3)
Partition 1: (Not Active) - (Size=200 MB) - (Type=2D)
Partition 2: (Not Active) - (Size=74 GB) - (Type=2D)
Partition 3: (Active) - (Size=74.7 GB) - (Type=07 NTFS)
==================== Ende vom Addition.txt ============================
Geändert von Toschwil (11.09.2015 um 13:44 Uhr) |
|
12.09.2015, 14:12
| #4 |
| /// the machine /// TB-Ausbilder | XP VM Telekom Abusemeldung Infektion: Necurs XP ist doch in einer VM, und kein Live System oder? Also hast du abgesehen von den Wiederherstellungspunkten in XP selbst noch die Sicherhungspunkte der VM, die man erstellen sollte  .VM kaputt, Sicherungspunkt wiederherstellen, 2 Minuten später wieder eine funktionierende VM. XP bereinigen, selbst ne VM , macht null Sinn, vor allem wenn das System online benutzt wird. Wenn Du mit dem Ding Passwörter nutzt oder Geldgeschäfte egal welcher Art machst, kannste die Daten auch gleich auf der Straße verschenken. Und diese VM ist mal so richtig fertig......
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
12.09.2015, 22:14
| #5 |
| | XP VM Telekom Abusemeldung Infektion: Necurs Hallo Schrauber, ich werde die VM mal auf einen Tag vor dem Befall zurücksetzen. Magst Du dann noch mal kurz auf die neuen Logs gucken, ob da alles sauber ist? Ich muss hauptsächlich etwas Zeit gewinnen um in Ruhe die neue VM aufzusetzen, da dann natürlich auch etliche Anwendungen in anderen Versionen zu installieren sind, samt Datenübernahme. Ich möchte natürlich ungern direkt wieder was in die neue VM einschleppen. |
|
13.09.2015, 10:03
| #6 |
| /// the machine /// TB-Ausbilder | XP VM Telekom Abusemeldung Infektion: Necurs klar 
__________________ --> XP VM Telekom Abusemeldung Infektion: Necurs |
WARNUNG an die MITLESER: 
Linear-Darstellung
