|
Plagegeister aller Art und deren Bekämpfung: Belästigung seit fast 5 Jahren durch Keylogger oder TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.12.2010, 15:49 | #1 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Hi! Nachdem ich nun das komplette Internet nach Informationen abgesucht habe wende ich mich an euch. Ich werde seit fast 5 Jahren von jemandem belästigt, der regelmäßig meine Email-Konten scant und brisante Inhalte weitergibt, was dann natürlich zu Ärger und Missverständnissen führt. Ich habe keine Ahnung, wie er das macht. Ich habe in der Zwischenzeit das 3. Notebook und alle immer wieder neu aufgesetzt. Trotzdem findet er immer wieder einen Weg, mich zu bespitzeln. Neue, sehr komplizierte Passwörter und Virenscanner (Sophos bzw. Antivir) sind für ihn kein Problem und wenn ich den Rechner absuche, wird auch nichts verdächtiges gefunden. Anfangs war es nur auf meinem privaten Rechner, aber jetzt passiert das auch auf meinem Arbeitsrechner. Seine Mails kommen über einen Anonymierungsserver und er logt sich mit ständig anderen IPs aus der ganzen WElt ein. Was kann ich noch machen, um diesem A...loch das Handwerk zu legen? Ich danke euch schon mal für eine Antwort. |
03.12.2010, 22:44 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Hallo,
__________________WLAN im Spiel? Wenn ja, ist das verschlüsselt und wenn ja wie? Wenn nicht, warum nicht?
__________________ |
04.12.2010, 15:08 | #3 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Klar, WPA-Verschlüsselung. Bin in der Zwischenzeit auch umgezogen. Außerdem haben wir auf der Arbei kein WLAN. Also Nachbar kommt nicht in Frage.
__________________ |
04.12.2010, 18:14 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Hast du vllt in den Mailkonten eine Passwort-vergessen-Funktion, die einfach dein Stalker richtig beantworten kann?
__________________ Logfiles bitte immer in CODE-Tags posten |
05.12.2010, 10:32 | #5 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Ihr Lieben. Wenn das so einfach wär, wär ich auch schon drauf gekommen. Ich bin mir sicher, dass mir jemand immer wieder einen Keylogger unterjubelt, weiß nur nicht wie. Kann der ICQ etwas damit zu tun haben? Der läuft bei mir auf allen Rechnern. |
05.12.2010, 15:18 | #6 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder TrojanerZitat:
Zitat:
Irgendwo muss bei dir jedoch eine Schwachstelle sein... Bitte deswegen routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ --> Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner |
06.12.2010, 10:25 | #7 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Hi Arne, hier schon mal der Malware log. OTL folgt gleich. Danke schon mal! Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5253 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 06.12.2010 10:18:32 mbam-log-2010-12-06 (10-18-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 396593 Laufzeit: 1 Stunde(n), 50 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
06.12.2010, 10:45 | #8 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Und hier kommt OTL:OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.12.2010 10:27:33 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\Werry\Downloads 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 0,00 Gb Available Physical Memory | 14,00% Memory free 4,00 Gb Paging File | 2,00 Gb Available in Paging File | 54,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 227,76 Gb Total Space | 121,63 Gb Free Space | 53,40% Space Free | Partition Type: NTFS Computer Name: -PC | User Name: W| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .url[@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation) .url [@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* File not found cmdfile [open] -- "%1" %* File not found comfile [open] -- "%1" %* File not found exefile [open] -- "%1" %* File not found helpfile [open] -- Reg Error: Key error. inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* File not found regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" File not found scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S File not found txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] "" = "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{104FB32A-7CE3-4C4B-B2AA-70C613FF9DFA}" = iTunes "{33EB1061-ABF1-4470-A540-32E97A610536}" = Apple Mobile Device Support "{41BF0DE4-5BAE-4B88-AFD3-86A30B222186}" = Bonjour "{90140000-0011-0000-1000-0000000FF1CE}" = Microsoft Office Professional Plus 2010 "{90140000-0015-0407-1000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010 "{90140000-0016-0407-1000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010 "{90140000-0018-0407-1000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010 "{90140000-0019-0407-1000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010 "{90140000-001A-0407-1000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010 "{90140000-001B-0407-1000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010 "{90140000-001F-0407-1000-0000000FF1CE}" = Microsoft Office Proof (German) 2010 "{90140000-001F-0409-1000-0000000FF1CE}" = Microsoft Office Proof (English) 2010 "{90140000-001F-040C-1000-0000000FF1CE}" = Microsoft Office Proof (French) 2010 "{90140000-001F-0410-1000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010 "{90140000-002C-0407-1000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010 "{90140000-0043-0000-1000-0000000FF1CE}" = Microsoft Office Office 32-bit Components 2010 "{90140000-0043-0407-1000-0000000FF1CE}" = Microsoft Office Shared 32-bit MUI (German) 2010 "{90140000-0044-0407-1000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010 "{90140000-006E-0407-1000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010 "{90140000-00A1-0407-1000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010 "{90140000-00BA-0407-1000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010 "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 "Power Management Driver" = ThinkPad Power Management Driver [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{15C418EB-7675-42be-B2B3-281952DA014D}" = Sophos AutoUpdate "{20E970DF-A7B2-4345-9DEB-72213A29645E}" = Brother MFL-Pro Suite MFC-5890CN "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 22 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2 "{90C67C7D-E918-402C-9856-7B13999E1786}" = StarMoney "{92633C0F-C9BE-41E3-B439-0B508F859DB5}" = StarMoney "{9ACB414D-9347-40B6-A453-5EFB2DB59DFA}" = Sophos Anti-Virus "{9C538746-C2DC-40FC-B1FB-D4EA7966ABEB}" = Skype™ 5.0 "{A54FD16E-1B39-4DFE-9961-AF51822C7FFE}" = MetaFrame Presentation Server Client "{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch "{AC76BA86-1033-F400-7760-000000000004}{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support "{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime "{EE3FD330-AFBF-4117-9B4E-CD004E4880A7}" = StarMoney 7.0 "{F4933D9F-89CC-4CA9-B5B0-CF32968890C7}" = BookScan&Whiteboard Suite "{F59205C8-E5FB-43F5-AAB2-16C1760D4F59}" = FaceFilter Studio Brother Edition "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "McAfee Security Scan" = McAfee Security Scan Plus "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) "Uninstall_is1" = Uninstall 1.0.0.1 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "CopyTrans Suite" = Nur Deinstallierung der CopyTrans Suite möglich. "Dropbox" = Dropbox ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 01.12.2010 04:58:52 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 01.12.2010 04:58:53 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 02.12.2010 03:16:48 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 02.12.2010 03:16:50 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 02.12.2010 07:07:16 | Computer Name = -PC | Source = Brother BrLog | ID = 1001 Description = CTLCN BrtCTLCN: [2010/12/02 12:07:16.739]: [00001068]: brccFCtl.dll: ### ERROR ### CheckTargetInfo error. TargetType = 2 NameFormat = CCE FileType = 3 AppID = -1 DirPath = OCRAppID = 0 OCR LangID = 0 Error - 02.12.2010 07:07:16 | Computer Name = -PC | Source = Brother BrLog | ID = 1001 Description = CTLCN BrtCTLCN: [2010/12/02 12:07:16.751]: [00001068]: brccMCtl.exe: ErrorMessage.cpp (0241) : -------- error code is [0x00031c0e]. Error - 03.12.2010 03:20:34 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 03.12.2010 03:20:35 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 06.12.2010 03:15:50 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = Error - 06.12.2010 03:15:56 | Computer Name = -PC | Source = .NET Runtime Optimization Service | ID = 1111 Description = [ System Events ] Error - 24.11.2010 04:44:10 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 25.11.2010 03:09:50 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 26.11.2010 03:10:15 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 29.11.2010 03:13:18 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 30.11.2010 03:14:23 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 01.12.2010 04:57:40 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 02.12.2010 03:15:37 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 03.12.2010 03:19:22 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 06.12.2010 03:14:15 | Computer Name = -PC | Source = DCOM | ID = 10016 Description = Error - 06.12.2010 04:27:14 | Computer Name = -PC | Source = DCOM | ID = 10000 Description = < End of report > |
06.12.2010, 10:50 | #9 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner OTL Logfile: Code:
ATTFilter OTL logfile created on: 06.12.2010 10:27:33 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\W\Downloads 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 0,00 Gb Available Physical Memory | 14,00% Memory free 4,00 Gb Paging File | 2,00 Gb Available in Paging File | 54,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 227,76 Gb Total Space | 121,63 Gb Free Space | 53,40% Space Free | Partition Type: NTFS Computer Name: W-PC | User Name: W | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\W\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.) PRC - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc) PRC - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc) PRC - C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH) PRC - C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe (Sophos Plc) PRC - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc) PRC - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc) PRC - C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) PRC - C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) PRC - C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe (Brother Industries, Ltd.) PRC - C:\Program Files (x86)\Brother\Brmfcmon\BrMfimon.exe (Brother Industries, Ltd.) PRC - C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\acrotray.exe (Adobe Systems Inc.) PRC - C:\Program Files (x86)\Citrix\ICA Client\wfica32.exe (Citrix Systems, Inc.) PRC - C:\Program Files (x86)\Citrix\ICA Client\pnagent.exe (Citrix Systems, Inc.) ========== Modules (SafeList) ========== MOD - C:\Users\W\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation) MOD - C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL (Sophos Plc) ========== Win32 Services (SafeList) ========== SRV:64bit: - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV:64bit: - (IBMPMSVC) -- C:\Windows\SysNative\ibmpmsvc.exe (Lenovo) SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (swi_service) -- C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc) SRV - (SAVAdminService) -- C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc) SRV - (StarMoney 7.0 OnlineUpdate) -- C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH) SRV - (Sophos AutoUpdate Service) -- C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc) SRV - (Apple Mobile Device) -- C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (SAVService) -- C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc) SRV - (McComponentHostService) -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV:64bit: - (SAVOnAccess) -- C:\Windows\SysNative\drivers\savonaccess.sys (Sophos Plc) DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.) DRV:64bit: - (SophosBootDriver) -- C:\Windows\SysNative\drivers\SophosBootDriver.sys (Sophos Plc) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (WSDPrintDevice) -- C:\Windows\SysNative\drivers\WSDPrint.sys (Microsoft Corporation) DRV:64bit: - (StillCam) -- C:\Windows\SysNative\drivers\serscan.sys (Microsoft Corporation) DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation) DRV:64bit: - (TPM) -- C:\Windows\SysNative\drivers\tpm.sys (Microsoft Corporation) DRV:64bit: - (SrvHsfV92) -- C:\Windows\SysNative\drivers\VSTDPV6.SYS (Conexant Systems, Inc.) DRV:64bit: - (SrvHsfWinac) -- C:\Windows\SysNative\drivers\VSTCNXT6.SYS (Conexant Systems, Inc.) DRV:64bit: - (SrvHsfHDA) -- C:\Windows\SysNative\drivers\VSTAZL6.SYS (Conexant Systems, Inc.) DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof () DRV:64bit: - (igfx) -- C:\Windows\SysNative\drivers\igdkmd64.sys (Intel Corporation) DRV:64bit: - (netw5v64) Intel(R) -- C:\Windows\SysNative\drivers\netw5v64.sys (Intel Corporation) DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.) DRV:64bit: - (IBMPMDRV) -- C:\Windows\SysNative\drivers\ibmpmdrv.sys (Lenovo.) DRV:64bit: - (rismxdp) -- C:\Windows\SysNative\drivers\rixdpx64.sys (REDC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = DF E2 F7 C0 F6 74 CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.uni-due.de/car/" FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {18be257c-edc7-43df-5b17-8a2bedfd7d78}:0.9.2.8 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.10.29 07:15:36 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2010.11.03 09:54:06 | 000,000,000 | ---D | M] [2010.10.14 08:56:43 | 000,000,000 | ---D | M] -- C:\Users\Werry\AppData\Roaming\mozilla\Extensions [2010.12.06 08:28:02 | 000,000,000 | ---D | M] -- C:\Users\W\AppData\Roaming\mozilla\Firefox\Profiles\3rm334gv.default\extensions [2010.10.25 09:58:26 | 000,000,000 | ---D | M] (Imperia OneClickEdit Toolbar) -- C:\Users\Werry\AppData\Roaming\mozilla\Firefox\Profiles\3rm334gv.default\extensions\{18be257c-edc7-43df-5b17-8a2bedfd7d78} [2010.10.15 08:39:34 | 000,000,000 | ---D | M] (No name found) -- C:\Users\W\AppData\Roaming\mozilla\Firefox\Profiles\3rm334gv.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.10.27 07:33:00 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions [2010.10.26 11:18:08 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.10.27 07:33:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2010.09.15 03:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2010.09.14 22:32:39 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.09.14 22:32:39 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2010.09.14 22:32:39 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2010.09.14 22:32:39 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2010.09.14 22:32:39 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (Sophos Web Content Scanner) - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHOX64.dll (Sophos Plc) O2:64bit: - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL (Microsoft Corporation) O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation) O2 - BHO: (Sophos Web Content Scanner) - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHO.dll (Sophos Plc) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~3\MICROS~1\Office14\GROOVEEX.DLL (Microsoft Corporation) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~3\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation) O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe (Sophos Plc) O4 - HKCU..\Run: [ICQ] C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O8:64bit: - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Werry\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8:64bit: - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8:64bit: - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Werry\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.) O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\ProgramData\Sophos Web Intelligence\swi_lsp.dll (Sophos Plc) O13 - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~2.DLL) - C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~2.DLL (Sophos Plc) O20 - AppInit_DLLs: (C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL) - C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL (Sophos Plc) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL (Microsoft Corporation) O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~3\MICROS~1\Office14\GROOVEEX.DLL (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.01.27 03:18:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.12.06 08:26:44 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Roaming\Malwarebytes [2010.12.06 08:26:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys [2010.12.06 08:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.12.06 08:26:27 | 000,024,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2010.12.06 08:26:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2010.11.19 09:11:56 | 000,000,000 | ---D | C] -- C:\ProgramData\AAV [2010.11.16 10:53:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Sophos Web Intelligence [2010.11.16 10:53:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Cisco Systems [2010.11.16 10:53:21 | 000,035,568 | ---- | C] (Sophos Plc) -- C:\Windows\SysNative\SophosBootTasks.exe [2010.11.16 10:53:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Sophos [2010.11.16 10:53:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Sophos [2010.11.16 10:48:43 | 000,025,608 | ---- | C] (Sophos Plc) -- C:\Windows\SysNative\drivers\SophosBootDriver.sys [2010.11.16 10:48:41 | 000,142,328 | ---- | C] (Sophos Plc) -- C:\Windows\SysNative\drivers\savonaccess.sys [2010.11.16 10:48:30 | 000,000,000 | ---D | C] -- C:\escw_95_sa [2010.11.12 09:29:05 | 000,073,728 | ---- | C] (Brother Industories Ltd. P&S Company) -- C:\Windows\SysWow64\BRCrypt.dll [2010.11.12 09:29:05 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\BrFaxRx [2010.11.12 09:28:49 | 000,118,784 | ---- | C] (Brother Industries,LTD.) -- C:\Windows\SysWow64\BrMfNt.dll [2010.11.12 09:28:48 | 000,179,712 | ---- | C] (Brother Industries, Ltd.) -- C:\Windows\SysNative\BrfxDA5b.dll [2010.11.12 09:28:47 | 000,207,872 | ---- | C] (brother) -- C:\Windows\SysNative\NSSRH64.dll [2010.11.12 09:28:47 | 000,082,944 | ---- | C] (Brother Industries, Ltd.) -- C:\Windows\SysNative\BrNetSti.dll [2010.11.12 09:28:47 | 000,058,368 | ---- | C] (Brother Industries,Ltd.) -- C:\Windows\SysNative\BrWiaNCp.dll [2010.11.12 09:28:47 | 000,047,616 | ---- | C] (Brother Industries,Ltd) -- C:\Windows\SysNative\Brnsplg.dll [2010.11.12 09:28:46 | 000,176,128 | ---- | C] (Brother Industries, Ltd.) -- C:\Windows\SysWow64\BroSNMP.dll [2010.11.12 09:28:46 | 000,073,728 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysWow64\BrDctF2.dll [2010.11.12 09:28:46 | 000,005,632 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysWow64\BrDctF2L.dll [2010.11.12 09:28:46 | 000,003,072 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysWow64\BrDctF2S.dll [2010.11.12 09:28:43 | 001,560,064 | ---- | C] (Brother Industries, Ltd.) -- C:\Windows\SysNative\BrWia09b.dll [2010.11.12 09:28:36 | 000,167,936 | ---- | C] (brother) -- C:\Windows\SysWow64\NSSearch.dll [2010.11.12 09:09:08 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Local\ElevatedDiagnostics [2010.11.12 08:54:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Brother [2010.11.12 08:53:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Reallusion [2010.11.12 08:53:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\InstallShield [2010.11.12 08:53:11 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Roaming\InstallShield [2010.11.12 08:52:56 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Roaming\Reallusion [2010.11.12 08:44:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Brother ========== Files - Modified Within 30 Days ========== [2010.12.06 10:19:58 | 122,930,176 | ---- | M] () -- C:\Users\W\Documents\Outlook.pst [2010.12.06 10:19:58 | 081,789,952 | ---- | M] () -- C:\Users\W\Documents\110510.pst [2010.12.06 08:26:30 | 000,001,120 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.06 08:21:10 | 000,018,752 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.12.06 08:21:10 | 000,018,752 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.12.06 08:12:52 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.12.06 08:12:42 | 1566,597,120 | -HS- | M] () -- C:\hiberfil.sys [2010.12.03 11:13:53 | 001,564,803 | ---- | M] () -- C:\Users\W\Desktop\Merg.pdf [2010.12.02 12:08:14 | 000,724,582 | ---- | M] () -- C:\Users\W\Desktop\Bewertung H.pdf [2010.11.29 17:42:18 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys [2010.11.29 17:42:06 | 000,024,152 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2010.11.25 10:07:53 | 000,011,143 | ---- | M] () -- C:\Users\W\Desktop\Weihnachstsessen.xlsx [2010.11.25 08:15:32 | 001,485,678 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2010.11.25 08:15:32 | 000,648,704 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2010.11.25 08:15:32 | 000,611,332 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2010.11.25 08:15:32 | 000,128,930 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2010.11.25 08:15:32 | 000,105,512 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2010.11.23 11:59:23 | 000,103,575 | ---- | M] () -- C:\Users\W\Documents\Rechnung Telekom.pdf [2010.11.22 08:44:53 | 000,233,729 | ---- | M] () -- C:\Users\W\Desktop\Angebot_und_Leistungsbeschreibung_CAR_2011.pdf [2010.11.22 08:43:09 | 000,111,049 | ---- | M] () -- C:\Users\W\Desktop\ang-432-car-symposium.pdf [2010.11.16 08:48:40 | 490,144,768 | ---- | M] () -- C:\Users\W\Documents\backup.pst [2010.11.12 09:31:17 | 000,002,151 | ---- | M] () -- C:\Users\Public\Desktop\Brother Creative Center.lnk [2010.11.12 09:30:54 | 000,000,256 | ---- | M] () -- C:\Windows\Brpfx04a.ini [2010.11.12 09:30:54 | 000,000,093 | ---- | M] () -- C:\Windows\brpcfx.ini [2010.11.12 09:30:25 | 000,000,425 | ---- | M] () -- C:\Windows\BRWMARK.INI [2010.11.12 09:30:25 | 000,000,027 | ---- | M] () -- C:\Windows\BRPP2KA.INI [2010.11.12 09:29:05 | 000,000,066 | ---- | M] () -- C:\Windows\Brfaxrx.ini [2010.11.12 09:29:05 | 000,000,050 | ---- | M] () -- C:\Windows\SysNative\bridf08a.dat [2010.11.12 08:54:55 | 000,002,207 | ---- | M] () -- C:\Users\Public\Desktop\Whiteboard Enhancer.lnk [2010.11.12 08:54:55 | 000,002,199 | ---- | M] () -- C:\Users\Public\Desktop\BookScan Enhancer.lnk [2010.11.12 08:54:39 | 000,002,200 | ---- | M] () -- C:\Users\Public\Desktop\FaceFilter Studio.lnk [2010.11.12 08:54:03 | 000,000,000 | RHS- | M] () -- C:\Windows\FFSSET.BIN [2010.11.09 10:39:24 | 000,970,219 | ---- | M] () -- C:\Users\W\Desktop\Programm_11_CAR-Symposium.pdf [2010.11.08 08:15:44 | 000,001,866 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk [2010.11.08 08:15:44 | 000,001,864 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk ========== Files Created - No Company Name ========== [2010.12.06 08:26:30 | 000,001,120 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.03 11:13:50 | 001,564,803 | ---- | C] () -- C:\Users\W\Desktop\Mberg.pdf [2010.12.02 12:08:12 | 000,724,582 | ---- | C] () -- C:\Users\W\Desktop\Bewertung H.pdf [2010.11.23 11:59:23 | 000,103,575 | ---- | C] () -- C:\Users\W\Documents\Rechnung Telekom.pdf [2010.11.22 08:44:53 | 000,233,729 | ---- | C] () -- C:\Users\W\Desktop\Angebot_und_Leistungsbeschreibung_CAR_2011.pdf [2010.11.22 08:43:09 | 000,111,049 | ---- | C] () -- C:\Users\W\Desktop\ang-432-car-symposium.pdf [2010.11.12 09:43:17 | 000,000,000 | ---- | C] () -- C:\Users\W\Sti_Trace.log [2010.11.12 09:31:17 | 000,002,151 | ---- | C] () -- C:\Users\Public\Desktop\Brother Creative Center.lnk [2010.11.12 09:30:54 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini [2010.11.12 09:30:52 | 000,000,256 | ---- | C] () -- C:\Windows\Brpfx04a.ini [2010.11.12 09:30:25 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI [2010.11.12 09:30:25 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI [2010.11.12 09:29:05 | 000,000,050 | ---- | C] () -- C:\Windows\SysNative\bridf08a.dat [2010.11.12 09:28:49 | 000,106,496 | ---- | C] () -- C:\Windows\SysWow64\BrMuSNMP.dll [2010.11.12 09:28:48 | 000,000,066 | ---- | C] () -- C:\Windows\Brfaxrx.ini [2010.11.12 09:28:48 | 000,000,000 | ---- | C] () -- C:\Windows\brdfxspd.dat [2010.11.12 09:28:47 | 000,143,360 | ---- | C] () -- C:\Windows\SysNative\BrSNMP64.dll [2010.11.12 08:54:55 | 000,002,207 | ---- | C] () -- C:\Users\Public\Desktop\Whiteboard Enhancer.lnk [2010.11.12 08:54:55 | 000,002,199 | ---- | C] () -- C:\Users\Public\Desktop\BookScan Enhancer.lnk [2010.11.12 08:54:39 | 000,002,200 | ---- | C] () -- C:\Users\Public\Desktop\FaceFilter Studio.lnk [2010.11.12 08:54:03 | 000,000,000 | RHS- | C] () -- C:\Windows\FFSSET.BIN [2010.11.11 10:14:36 | 000,011,143 | ---- | C] () -- C:\Users\W\Desktop\Weihnachstsessen.xlsx [2010.11.09 10:39:24 | 000,970,219 | ---- | C] () -- C:\Users\W\Desktop\Programm_11_CAR-Symposium.pdf [2010.10.15 08:48:23 | 000,003,584 | ---- | C] () -- C:\Users\W\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.14 09:49:38 | 000,000,297 | ---- | C] () -- C:\ProgramData\hpzinstall.log [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll [2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\Windows\SysWow64\nsldap32v50.dll [2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\Windows\SysWow64\nsldappr32v50.dll [2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\Windows\SysWow64\nsldapssl32v50.dll < End of report > |
06.12.2010, 18:34 | #10 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Ist unauffällig. Malwarebefall hätte ich auch nicht unbedingt erwartet, du sagtest ja der Rechner wurde schon mehrmals neu aufgesetzt. Irgendeine Lücke muss ja da sein, die wir bisher übersehen haben. Zitat:
Evtl Router die Schwachstelle? Kennt er überhaupt noch irgendein Passwort von dir? Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
07.12.2010, 08:28 | #11 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Ich arbeite in 3 verschiedenen Netzwerken, 2 auf der Arbeit (Lan-Kabel, Switchport, keine Ahnung, was dann kommt...) und Zuhause mit Wlan und Router. Der Router ist erst ein paar Monate alt. Der letzte Zugriff war aber hier auf meinen Arbeitsrechner, von dem ich auch die Logfiles gepostet hab. Er hat eine noch nicht verschickte Mail zitiert und an einen Freund weitergeleitet. Diese Mail befand sich noch im Outlook-Entwürfe Ordner und war nicht verschickt. Ich arbeite hier mit Outlook Exchange, d.h. Zuhause rufe ich die Dienst-Mails über ein Webinterface ab, also wären Login Daten ausreichend. Private Mails nur über Firefox oder Handy. Die Verbindung ist SSL-verschlüsselt. Ich hatte ja schon mal angesprochen, dass ich ICQ in Verdacht habe, den ich auf allen 3 Rechnern nutze. Habe da aber keine Dateien angenommen oder gar geöffnet, wenn etwas kam. Trotzdem werde ich das Gefühl nicht los, dass der Spuk damit zusammenhängt. Kann das sein? Du hast den Router angesprochen. Mal angenommen, er kennt das Passwort dafür, kann er damit Schabernack treiben, also mir etwas unterjubeln und somit weitere Passwörter ausspionieren? |
07.12.2010, 11:32 | #12 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder TrojanerZitat:
Hast du einen konkreten Verdacht wer das ist? Hast du eine(n) Ex, die/der in der EDV tätig ist/war?
__________________ Logfiles bitte immer in CODE-Tags posten |
07.12.2010, 15:35 | #13 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Japp, hab ich, aber das würde mir nur die Fragen wer und warum beantworten. Wobei ich mir das kaum vorstellen kann. Aber, wie hat er das gemacht und wie kann ich mich davor schützen? Oder noch besser, wie kann ich ihn überführen? |
07.12.2010, 15:41 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Wenn er in der EDV tätig ist? Er ist "Chef" er darf alles, muss auch alles als Admin können/dürfen...natürlich darf er nicht seine Rechte missbrauchen. Man weiß aber auch noch nicht genau ob er das wirklich war bzw. wie genau er an die Mails rangekommen ist. Schwierige Sache sowas. Wenn das wirklich so ist, müsste man sich mal überlegen wen man zuerst auf sowas anspricht und wie. Man muss ja vorsichtig sein, eine falsche Anschuldigung kann schnell Gift für die gesamte Atmosphäre werden.
__________________ Logfiles bitte immer in CODE-Tags posten |
07.12.2010, 15:56 | #15 |
| Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner Oh, sorry, das war ein Missverständnis. Er ist nicht in UNSERER IT tätig, sondern in einem anderem Unternehmen. Irgendwie ergibt das alles keinen Sinn. Ich werd wohl weiterhin regelmäßig meine Passwörter ändern und abwarten, dass er die Lust daran verliert, mich zu stalken. Dank dir trotzdem für deine Mühen. |
Themen zu Belästigung seit fast 5 Jahren durch Keylogger oder Trojaner |
ahnung, anderen, antivir, antwort, belästigung, internet, jahre, keylogger, log, mails, natürlich, neu, neue, nichts, notebook, passwörter, private, problem, rechner, scan, scanner, sophos, trojane, trojaner, virenscan, virenscanner |