Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Security Center - Ukash (https://www.trojaner-board.de/108986-windows-security-center-ukash.html)

cosinus 07.02.2012 11:57
Na wenn dir "deine IT" nicht hilft :D

Zitat:
[2012/02/06 03:38:43 | 000,040,328 | ---- | C] (McAfee, Inc.) -- C:\Windows\SysWow64\HIPIS0e011b5.dll
[2012/02/03 16:39:56 | 000,033,800 | ---- | C] (Panda Security, S.L.) -- C:\Windows\SysNative\drivers\pavboot64.sys
[2012/02/03 16:39:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Panda Security
Wieso ist denn Panda UND McAfee installiert? :wtf:
Sowas wie Pand und McAfee sollte man niemals gleichzeitig verwenden. Die können sich gegenseitig das Handwerk legen, das System beeinträchtigen oder sich andersweitig gegenseitig behindern, zudem schaffst du nicht mehr Sicherheit indem mehr "Sicherheits"programme aus bunten Pappschachten oder aus Downloads und mit bunten Schirmchen daherkommen.

LPS 07.02.2012 12:35
Hallo Arne,

freut mich, dass ich Dir ein Lächeln abverlangen konnte :) Glaub mir, danach ist mir nicht immer zumute. Anderes Beispiel beim ersten Anruf an die Hotline Freitag (alles auf Pidgin-English natürlich): "Ich habe einen Trojaner auf dem Rechner. Ich habe lediglich die Anzeige der Zahlungsaufforderung und kann keine Aktivität durchführen. Weder Internetzugang, noch Task-Manager, noch irgendwas sind möglich." - Antwort der Kollegen: kein Problem, melden Sie sich bitte kurz auf der Internetseite an und gewähren Sie uns Zugriff, damit wir Ihren Bildschirm anschauen können!" - "Aber das geht nicht, ich kann NICHTS machen an meinem Rechner" - "Ja, aber verstehen Sie doch. Melden Sie sich an und wir können das Problem erledigen!" Ich habe aufgelegt und bekam einen Bewertungsbogen zum Thema Performance-Issues unter Win7.

Ich habe gestern den Panda-Online-Check durchlaufen lassen. Daher stammt der Eintrag. McAfee ist das eigentliche Tool der (nicht ganz so freiwilligen) Wahl. Panda wurde ziemlich zeitnah nach dem Scan wieder entfernt. McAfee war zum Zugriffseitpunkt des Trojaners aktiv und aktuell.

Lieben Gruß
Lutz

cosinus 07.02.2012 12:39
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

LPS 07.02.2012 13:01
Hallo Arne,

auf die eigenen Dateien kann ich zugreifen, es ist auch nichts verborgen.

Danke, dass Du "trotzdem" weiter hilfst!

Lieben Gruß
Lutz

Code:

12:59:01.0347 1100        TDSS rootkit removing tool 2.7.9.0 Feb  1 2012 09:28:49
12:59:01.0631 1100        ============================================================
12:59:01.0631 1100        Current date / time: 2012/02/07 12:59:01.0631
12:59:01.0631 1100        SystemInfo:
12:59:01.0631 1100       
12:59:01.0631 1100        OS Version: 6.1.7601 ServicePack: 1.0
12:59:01.0631 1100        Product type: Workstation
12:59:01.0631 1100        ComputerName: ****
12:59:01.0632 1100        UserName: ****
12:59:01.0632 1100        Windows directory: C:\Windows
12:59:01.0632 1100        System windows directory: C:\Windows
12:59:01.0632 1100        Running under WOW64
12:59:01.0632 1100        Processor architecture: Intel x64
12:59:01.0632 1100        Number of processors: 4
12:59:01.0632 1100        Page size: 0x1000
12:59:01.0632 1100        Boot type: Normal boot
12:59:01.0632 1100        ============================================================
12:59:01.0975 1100        Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
12:59:01.0981 1100        \Device\Harddisk0\DR0:
12:59:01.0982 1100        MBR used
12:59:01.0982 1100        \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x2542D800
12:59:01.0986 1100        Initialize success
12:59:01.0986 1100        ============================================================
12:59:06.0632 1572        ============================================================
12:59:06.0632 1572        Scan started
12:59:06.0632 1572        Mode: Manual; SigCheck; TDLFS;
12:59:06.0632 1572        ============================================================
12:59:07.0035 1572        1394ohci - ok
12:59:07.0089 1572        Accelerometer - ok
12:59:07.0093 1572        ACPI - ok
12:59:07.0096 1572        AcpiPmi - ok
12:59:07.0137 1572        adp94xx - ok
12:59:07.0142 1572        adpahci - ok
12:59:07.0146 1572        adpu320 - ok
12:59:07.0163 1572        AFD - ok
12:59:07.0173 1572        AgereSoftModem - ok
12:59:07.0177 1572        agp440 - ok
12:59:07.0183 1572        aliide - ok
12:59:07.0191 1572        amdide - ok
12:59:07.0195 1572        AmdK8 - ok
12:59:07.0198 1572        AmdPPM - ok
12:59:07.0202 1572        amdsata - ok
12:59:07.0205 1572        amdsbs - ok
12:59:07.0209 1572        amdxata - ok
12:59:07.0212 1572        AppID - ok
12:59:07.0223 1572        arc - ok
12:59:07.0227 1572        arcsas - ok
12:59:07.0230 1572        AsyncMac - ok
12:59:07.0236 1572        atapi - ok
12:59:07.0239 1572        atikmdag - ok
12:59:07.0248 1572        b06bdrv - ok
12:59:07.0252 1572        b57nd60a - ok
12:59:07.0268 1572        Beep - ok
12:59:07.0288 1572        blbdrive - ok
12:59:07.0292 1572        bowser - ok
12:59:07.0296 1572        BrFiltLo - ok
12:59:07.0299 1572        BrFiltUp - ok
12:59:07.0304 1572        Brserid - ok
12:59:07.0307 1572        BrSerWdm - ok
12:59:07.0311 1572        BrUsbMdm - ok
12:59:07.0314 1572        BrUsbSer - ok
12:59:07.0318 1572        BthEnum - ok
12:59:07.0322 1572        BTHMODEM - ok
12:59:07.0326 1572        BthPan - ok
12:59:07.0330 1572        BTHPORT - ok
12:59:07.0336 1572        BTHUSB - ok
12:59:07.0340 1572        btwavdt - ok
12:59:07.0343 1572        btwrchid - ok
12:59:07.0346 1572        cdfs - ok
12:59:07.0357 1572        cdrom - ok
12:59:07.0364 1572        circlass - ok
12:59:07.0368 1572        CLFS - ok
12:59:07.0374 1572        CmBatt - ok
12:59:07.0378 1572        cmdide - ok
12:59:07.0384 1572        CNG - ok
12:59:07.0393 1572        Compbatt - ok
12:59:07.0396 1572        CompositeBus - ok
12:59:07.0402 1572        crcdisk - ok
12:59:07.0409 1572        CSC - ok
12:59:07.0427 1572        DfsC - ok
12:59:07.0432 1572        discache - ok
12:59:07.0436 1572        Disk - ok
12:59:07.0440 1572        dmvsc - ok
12:59:07.0448 1572        drmkaud - ok
12:59:07.0456 1572        dtsoftbus01 - ok
12:59:07.0460 1572        DXGKrnl - ok
12:59:07.0473 1572        e1kexpress - ok
12:59:07.0479 1572        ebdrv - ok
12:59:07.0487 1572        elxstor - ok
12:59:07.0499 1572        ErrDev - ok
12:59:07.0508 1572        exfat - ok
12:59:07.0511 1572        fastfat - ok
12:59:07.0516 1572        fdc - ok
12:59:07.0533 1572        FileInfo - ok
12:59:07.0536 1572        Filetrace - ok
12:59:07.0552 1572        Firehk - ok
12:59:07.0556 1572        FirehkMP - ok
12:59:07.0560 1572        firelm01 - ok
12:59:07.0564 1572        FirePM - ok
12:59:07.0567 1572        FireTDI - ok
12:59:07.0579 1572        flpydisk - ok
12:59:07.0583 1572        FltMgr - ok
12:59:07.0589 1572        FsDepends - ok
12:59:07.0593 1572        Fs_Rec - ok
12:59:07.0597 1572        fvevol - ok
12:59:07.0601 1572        gagp30kx - ok
12:59:07.0606 1572        hcw85cir - ok
12:59:07.0610 1572        HDAudBus - ok
12:59:07.0614 1572        HECIx64 - ok
12:59:07.0617 1572        HidBatt - ok
12:59:07.0621 1572        HidBth - ok
12:59:07.0624 1572        HidIr - ok
12:59:07.0634 1572        HidUsb - ok
12:59:07.0638 1572        HIPK - ok
12:59:07.0641 1572        HIPPSK - ok
12:59:07.0645 1572        HIPQK - ok
12:59:07.0663 1572        hpdskflt - ok
12:59:07.0675 1572        HpqKbFiltr - ok
12:59:07.0680 1572        HpSAMD - ok
12:59:07.0686 1572        HTTP - ok
12:59:07.0689 1572        hwpolicy - ok
12:59:07.0692 1572        i8042prt - ok
12:59:07.0699 1572        iaStor - ok
12:59:07.0703 1572        iaStorV - ok
12:59:07.0712 1572        igfx - ok
12:59:07.0715 1572        iirsp - ok
12:59:07.0726 1572        Impcd - ok
12:59:07.0732 1572        IntcDAud - ok
12:59:07.0737 1572        intelide - ok
12:59:07.0740 1572        intelppm - ok
12:59:07.0746 1572        IpFilterDriver - ok
12:59:07.0751 1572        IPMIDRV - ok
12:59:07.0755 1572        IPNAT - ok
12:59:07.0769 1572        IRENUM - ok
12:59:07.0773 1572        isapnp - ok
12:59:07.0777 1572        iScsiPrt - ok
12:59:07.0780 1572        kbdclass - ok
12:59:07.0785 1572        kbdhid - ok
12:59:07.0790 1572        KSecDD - ok
12:59:07.0794 1572        KSecPkg - ok
12:59:07.0797 1572        ksthunk - ok
12:59:07.0828 1572        LEqdUsb - ok
12:59:07.0839 1572        LHidEqd - ok
12:59:07.0842 1572        LHidFilt - ok
12:59:07.0846 1572        lltdio - ok
12:59:07.0855 1572        LMouFilt - ok
12:59:07.0860 1572        LSI_FC - ok
12:59:07.0864 1572        LSI_SAS - ok
12:59:07.0868 1572        LSI_SAS2 - ok
12:59:07.0871 1572        LSI_SCSI - ok
12:59:07.0882 1572        luafv - ok
12:59:07.0894 1572        MBAMProtector - ok
12:59:07.0924 1572        megasas - ok
12:59:07.0928 1572        MegaSR - ok
12:59:07.0932 1572        mfeapfk - ok
12:59:07.0936 1572        mfeavfk - ok
12:59:07.0939 1572        mfehidk - ok
12:59:07.0943 1572        mferkdet - ok
12:59:07.0946 1572        mfetdik - ok
12:59:07.0972 1572        Modem - ok
12:59:07.0976 1572        monitor - ok
12:59:07.0980 1572        mouclass - ok
12:59:07.0986 1572        mouhid - ok
12:59:07.0997 1572        mountmgr - ok
12:59:08.0002 1572        mpio - ok
12:59:08.0006 1572        mpsdrv - ok
12:59:08.0012 1572        MRxDAV - ok
12:59:08.0015 1572        mrxsmb - ok
12:59:08.0019 1572        mrxsmb10 - ok
12:59:08.0023 1572        mrxsmb20 - ok
12:59:08.0027 1572        msahci - ok
12:59:08.0030 1572        msdsm - ok
12:59:08.0039 1572        Msfs - ok
12:59:08.0043 1572        mshidkmdf - ok
12:59:08.0047 1572        msisadrv - ok
12:59:08.0065 1572        MSKSSRV - ok
12:59:08.0069 1572        MSPCLOCK - ok
12:59:08.0073 1572        MSPQM - ok
12:59:08.0077 1572        MsRPC - ok
12:59:08.0083 1572        mssmbios - ok
12:59:08.0087 1572        MSTEE - ok
12:59:08.0091 1572        MTConfig - ok
12:59:08.0095 1572        Mup - ok
12:59:08.0106 1572        NativeWifiP - ok
12:59:08.0120 1572        NDIS - ok
12:59:08.0124 1572        NdisCap - ok
12:59:08.0127 1572        NdisTapi - ok
12:59:08.0138 1572        Ndisuio - ok
12:59:08.0142 1572        NdisWan - ok
12:59:08.0146 1572        NDProxy - ok
12:59:08.0151 1572        NEOFLTR_700_18107 - ok
12:59:08.0158 1572        NetBIOS - ok
12:59:08.0162 1572        NetBT - ok
12:59:08.0183 1572        NETwNs64 - ok
12:59:08.0190 1572        nfrd960 - ok
12:59:08.0209 1572        Npfs - ok
12:59:08.0215 1572        nsiproxy - ok
12:59:08.0222 1572        Ntfs - ok
12:59:08.0226 1572        Null - ok
12:59:08.0230 1572        nvraid - ok
12:59:08.0234 1572        nvstor - ok
12:59:08.0241 1572        nv_agp - ok
12:59:08.0247 1572        ohci1394 - ok
12:59:08.0273 1572        Parport - ok
12:59:08.0276 1572        partmgr - ok
12:59:08.0283 1572        pci - ok
12:59:08.0287 1572        pciide - ok
12:59:08.0291 1572        pcmcia - ok
12:59:08.0295 1572        pcw - ok
12:59:08.0299 1572        PEAUTH - ok
12:59:08.0338 1572        PptpMiniport - ok
12:59:08.0342 1572        Processor - ok
12:59:08.0353 1572        Psched - ok
12:59:08.0372 1572        PxHlpa64 - ok
12:59:08.0376 1572        ql2300 - ok
12:59:08.0380 1572        ql40xx - ok
12:59:08.0388 1572        QWAVEdrv - ok
12:59:08.0395 1572        RadiaMsi - ok
12:59:08.0404 1572        RasAcd - ok
12:59:08.0408 1572        RasAgileVpn - ok
12:59:08.0415 1572        Rasl2tp - ok
12:59:08.0422 1572        RasPppoe - ok
12:59:08.0426 1572        RasSstp - ok
12:59:08.0431 1572        rdbss - ok
12:59:08.0436 1572        rdpbus - ok
12:59:08.0440 1572        RDPCDD - ok
12:59:08.0447 1572        RDPDR - ok
12:59:08.0453 1572        RDPENCDD - ok
12:59:08.0459 1572        RDPREFMP - ok
12:59:08.0466 1572        RdpVideoMiniport - ok
12:59:08.0471 1572        RDPWD - ok
12:59:08.0483 1572        rdyboost - ok
12:59:08.0504 1572        RFCOMM - ok
12:59:08.0509 1572        rimmptsk - ok
12:59:08.0513 1572        rimspci - ok
12:59:08.0519 1572        rimsptsk - ok
12:59:08.0523 1572        risdpcie - ok
12:59:08.0533 1572        rismcx64 - ok
12:59:08.0549 1572        rismxdp - ok
12:59:08.0554 1572        rixdpcie - ok
12:59:08.0568 1572        rspndr - ok
12:59:08.0580 1572        RsvLock - ok
12:59:08.0585 1572        s3cap - ok
12:59:08.0590 1572        SafeBoot - ok
12:59:08.0610 1572        SBAlg - ok
12:59:08.0614 1572        SbFlop - ok
12:59:08.0619 1572        SbFsLock - ok
12:59:08.0623 1572        sbp2port - ok
12:59:08.0628 1572        SbRegFlt - ok
12:59:08.0635 1572        scfilter - ok
12:59:08.0645 1572        sdbus - ok
12:59:08.0653 1572        secdrv - ok
12:59:08.0670 1572        Serenum - ok
12:59:08.0676 1572        Serial - ok
12:59:08.0682 1572        sermouse - ok
12:59:08.0697 1572        sffdisk - ok
12:59:08.0702 1572        sffp_mmc - ok
12:59:08.0707 1572        sffp_sd - ok
12:59:08.0711 1572        sfloppy - ok
12:59:08.0723 1572        SiSRaid2 - ok
12:59:08.0727 1572        SiSRaid4 - ok
12:59:08.0732 1572        Smb - ok
12:59:08.0746 1572        spldr - ok
12:59:08.0760 1572        srv - ok
12:59:08.0764 1572        srv2 - ok
12:59:08.0769 1572        srvnet - ok
12:59:08.0784 1572        stexstor - ok
12:59:08.0789 1572        STHDA - ok
12:59:08.0805 1572        storflt - ok
12:59:08.0813 1572        storvsc - ok
12:59:08.0818 1572        swenum - ok
12:59:08.0836 1572        Synth3dVsc - ok
12:59:08.0840 1572        SynTP - ok
12:59:08.0857 1572        Tcpip - ok
12:59:08.0863 1572        TCPIP6 - ok
12:59:08.0871 1572        tcpipreg - ok
12:59:08.0880 1572        TDPIPE - ok
12:59:08.0885 1572        TDTCP - ok
12:59:08.0890 1572        tdx - ok
12:59:08.0895 1572        TermDD - ok
12:59:08.0900 1572        terminpt - ok
12:59:08.0923 1572        TPM - ok
12:59:08.0938 1572        tssecsrv - ok
12:59:08.0944 1572        TsUsbFlt - ok
12:59:08.0948 1572        TsUsbGD - ok
12:59:08.0953 1572        tsusbhub - ok
12:59:08.0958 1572        tunnel - ok
12:59:08.0963 1572        uagp35 - ok
12:59:08.0968 1572        udfs - ok
12:59:08.0983 1572        uliagpkx - ok
12:59:08.0988 1572        umbus - ok
12:59:08.0993 1572        UmPass - ok
12:59:09.0012 1572        usbaudio - ok
12:59:09.0017 1572        usbccgp - ok
12:59:09.0031 1572        usbcir - ok
12:59:09.0036 1572        usbehci - ok
12:59:09.0042 1572        usbhub - ok
12:59:09.0047 1572        usbohci - ok
12:59:09.0052 1572        usbprint - ok
12:59:09.0057 1572        USBSTOR - ok
12:59:09.0062 1572        usbuhci - ok
12:59:09.0076 1572        usbvideo - ok
12:59:09.0088 1572        vdrvroot - ok
12:59:09.0096 1572        vga - ok
12:59:09.0102 1572        VgaSave - ok
12:59:09.0106 1572        VGPU - ok
12:59:09.0111 1572        vhdmp - ok
12:59:09.0116 1572        viaide - ok
12:59:09.0123 1572        vmbus - ok
12:59:09.0127 1572        VMBusHID - ok
12:59:09.0132 1572        volmgr - ok
12:59:09.0138 1572        volmgrx - ok
12:59:09.0143 1572        volsnap - ok
12:59:09.0148 1572        vsmraid - ok
12:59:09.0156 1572        vwifibus - ok
12:59:09.0162 1572        vwififlt - ok
12:59:09.0180 1572        vwifimp - ok
12:59:09.0192 1572        WacomPen - ok
12:59:09.0197 1572        WANARP - ok
12:59:09.0203 1572        Wanarpv6 - ok
12:59:09.0221 1572        Wd - ok
12:59:09.0226 1572        Wdf01000 - ok
12:59:09.0265 1572        WfpLwf - ok
12:59:09.0271 1572        WIMMount - ok
12:59:09.0303 1572        WinUsb - ok
12:59:09.0348 1572        WmiAcpi - ok
12:59:09.0370 1572        ws2ifsl - ok
12:59:09.0391 1572        WudfPf - ok
12:59:09.0396 1572        WUDFRd - ok
12:59:09.0444 1572        MBR (0x1B8)    (2cd9cd0778840ab6a887c3df17bdb7cc) \Device\Harddisk0\DR0
12:59:10.0614 1572        \Device\Harddisk0\DR0 - ok
12:59:10.0637 1572        Boot (0x1200)  (e0a93a2d4812eb3ef079d25895627f83) \Device\Harddisk0\DR0\Partition0
12:59:10.0638 1572        \Device\Harddisk0\DR0\Partition0 - ok
12:59:10.0638 1572        ============================================================
12:59:10.0638 1572        Scan finished
12:59:10.0638 1572        ============================================================
12:59:10.0646 6688        Detected object count: 0
12:59:10.0646 6688        Actual detected object count: 0
12:59:14.0637 1536        Deinitialize success

cosinus 07.02.2012 13:02
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

LPS 07.02.2012 14:25
Salut Arne,

weiter geht's:

Combofix Logfile:
Code:
ComboFix 12-02-07.01 - **** 07.02.2012  14:05:46.4.4 - x64
Microsoft Windows 7 Enterprise  6.1.7601.1.1252.1.1033.18.3887.2386 [GMT 1:00]
Running from: c:\users\Administrator\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
FW: McAfee Host Intrusion Prevention Firewall *Disabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
SP: McAfee VirusScan Enterprise Antispyware Module *Disabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((  Files Created from 2012-01-07 to 2012-02-07  )))))))))))))))))))))))))))))))
.
.
2012-02-07 13:12 . 2012-02-07 13:12        --------        d-----w-        c:\users\****\AppData\Local\temp
2012-02-07 13:12 . 2012-02-07 13:12        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-02-06 13:43 . 2012-02-06 13:43        --------        d-----w-        c:\users\Administrator\AppData\Local\Mozilla
2012-02-06 13:42 . 2012-02-06 13:42        --------        d-----w-        c:\users\Administrator\AppData\Roaming\Logitech
2012-02-06 02:52 . 2012-02-06 02:52        --------        d-----w-        c:\program files (x86)\ESET
2012-02-06 02:38 . 2010-06-15 11:57        47080        ----a-w-        c:\windows\system32\HIPIS0e011b5.dll
2012-02-06 02:38 . 2010-06-15 11:57        40328        ----a-w-        c:\windows\SysWow64\HIPIS0e011b5.dll
2012-02-06 00:22 . 2012-02-06 00:22        --------        d-----w-        c:\users\****\AppData\Roaming\Malwarebytes
2012-02-06 00:22 . 2012-02-06 00:22        --------        d-----w-        c:\programdata\Malwarebytes
2012-02-06 00:22 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-02-06 00:22 . 2012-02-06 00:22        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2012-02-06 00:08 . 2012-02-06 00:08        --------        d-----w-        c:\users\****\AppData\Roaming\SpeedMaxPc
2012-02-06 00:08 . 2012-02-06 00:08        --------        d-----w-        c:\users\****\AppData\Roaming\DriverCure
2012-02-06 00:08 . 2012-02-06 00:17        --------        d-----w-        c:\programdata\SpeedMaxPc
2012-02-06 00:06 . 2012-02-06 00:06        --------        d-----w-        c:\windows\7AE5C77687424874B53B941190171E6D.TMP
2012-02-05 23:43 . 2012-02-05 23:43        --------        d-----w-        c:\program files\Enigma Software Group
2012-02-05 23:42 . 2012-02-05 23:42        --------        d-----w-        c:\program files (x86)\Common Files\Wise Installation Wizard
2012-02-05 23:31 . 2012-02-05 23:31        --------        d-----w-        c:\programdata\AVS4YOU
2012-02-05 23:31 . 2012-02-05 23:31        --------        d-----w-        c:\users\****\AppData\Roaming\AVS4YOU
2012-02-05 23:30 . 2012-02-06 00:14        --------        d-----w-        c:\program files (x86)\Common Files\AVSMedia
2012-02-05 23:30 . 2012-02-06 00:14        --------        d-----w-        c:\program files (x86)\AVS4YOU
2012-02-05 23:30 . 2011-06-23 12:25        24576        ----a-w-        c:\windows\SysWow64\msxml3a.dll
2012-01-13 13:05 . 2012-01-13 13:05        --------        d-----w-        c:\users\****\AppData\Local\HPVirtualRooms
2012-01-11 10:50 . 2011-10-26 05:21        43520        ----a-w-        c:\windows\system32\csrsrv.dll
2012-01-11 10:48 . 2011-11-17 06:41        1731920        ----a-w-        c:\windows\system32\ntdll.dll
2012-01-11 10:48 . 2011-11-17 05:38        1292080        ----a-w-        c:\windows\SysWow64\ntdll.dll
2012-01-11 10:48 . 2011-11-19 14:58        77312        ----a-w-        c:\windows\system32\packager.dll
2012-01-11 10:48 . 2011-11-19 14:01        67072        ----a-w-        c:\windows\SysWow64\packager.dll
2012-01-11 09:43 . 2012-01-11 09:43        548864        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcp80.dll
2012-01-11 09:43 . 2012-01-11 09:43        479232        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcm80.dll
2012-01-11 09:43 . 2012-01-11 09:43        43992        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozutils.dll
2012-01-11 09:43 . 2012-01-11 09:43        626688        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcr80.dll
.
.
.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-08 22:16 . 2011-02-17 16:16        140864        ----a-w-        c:\windows\SysWow64\KevlarSigs.dll
2011-12-10 11:51 . 2011-08-17 16:11        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-12-05 20:36 . 2011-12-05 20:36        279616        ----a-w-        c:\windows\system32\drivers\dtsoftbus01.sys
2011-11-24 04:52 . 2012-01-02 07:15        3145216        ----a-w-        c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((  SnapShot@2012-02-07_12.42.33  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-14 05:10 . 2012-02-07 13:01        43386              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-08-17 10:06 . 2012-02-07 13:00        16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-08-17 10:06 . 2012-02-07 12:15        16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-08-17 10:06 . 2012-02-07 12:15        32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-08-17 10:06 . 2012-02-07 13:00        32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2012-02-07 12:15        16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2012-02-07 13:00        16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-08-17 13:59 . 2012-02-07 13:04        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-08-17 13:59 . 2012-02-07 12:06        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-02-17 19:04 . 2012-02-07 12:06        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-17 19:04 . 2012-02-07 13:04        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-08-17 08:21 . 2012-02-07 13:01        3476              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3806157465-3994380020-3745351282-500_UserData.bin
- 2012-02-07 12:12 . 2012-02-07 12:12        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-02-07 12:12 . 2012-02-07 12:58        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-02-07 12:12 . 2012-02-07 12:12        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-02-07 12:12 . 2012-02-07 12:58        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 05:12 . 2012-02-07 12:15        262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:12 . 2012-02-07 13:00        262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"COEMsgDisplay"="c:\program files (x86)\Hewlett-Packard\PC COE\COEMsgDisplay.exe" [2007-04-11 26624]
"ShStatEXE"="c:\program files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-01-06 124240]
"McAfee Host Intrusion Prevention Tray"="c:\program files (x86)\McAfee\Host Intrusion Prevention\FireTray.exe" [2010-06-15 979104]
"GetITIcon"="c:\program files (x86)\Hewlett-Packard\GetITIcon\GetITShell.exe" [2010-11-16 851456]
"IDA"="c:\program files (x86)\Hewlett-Packard\PC COE\IDA.EXE" [2011-04-02 176128]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-11-11 287800]
"Communicator"="c:\program files (x86)\Microsoft Office Communicator\communicator.exe" [2011-09-06 5152096]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SafeBootTrayManager"="c:\program files (x86)\SafeBoot Tray Manager\SbTrayManager.exe" [2009-08-19 69632]
"SafeBootTokenWatcher"="c:\program files (x86)\McAfee\Endpoint Encryption for PC\SbTokWatch.exe" [2010-12-14 172092]
"eepc_SmartClient"="c:\program files (x86)\SmartClient\Smart.exe" [2011-07-18 225792]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"McAfeeUpdaterUI"="c:\program files (x86)\McAfee\Common Framework\udaterui.exe" [2011-05-19 161088]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
ActivClient Agent.lnk - c:\program files\ActivIdentity\ActivClient\acsagent.exe [2009-6-3 164904]
Logitech SetPoint.lnk - c:\program files (x86)\Logitech\SetPoint\SetPoint.exe [2011-8-17 1207312]
Program Neighborhood Agent.lnk - c:\windows\Installer\{B2AE44CB-2AAB-4C08-A54B-D264BD604DA8}\Icon80951CEC.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe [2011-8-24 12390]
WinZip Quick Pick.lnk - c:\windows\Installer\{9FDF923E-DB53-41E4-8CE6-8DEB8301C12E}\Icon_WZQKPICK.EXE [2011-8-17 65536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 4 (0x4)
"consentpromptbehavioruser"= 3 (0x3)
"dontdisplaylockeduserid"= 1 (0x1)
"enablelua"= 0 (0x0)
"enableuiadesktoptoggle"= 0 (0x0)
"LogonType"= 0 (0x0)
"HideFastUserSwitching"= 1 (0x1)
"ReportControllerMissing"= 1 (0x1)
"DisableNT4Policy"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWebServices"= 1 (0x1)
"NoPublishingWizard"= 1 (0x1)
"NoAutorun"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages        REG_MULTI_SZ          sbnp scecli
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R2 enterceptAgent;McAfee Host Intrusion Prevention Service;c:\program files (x86)\McAfee\Host Intrusion Prevention\FireSvc.exe [2010-06-15 1498224]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
R2 McAfee SiteAdvisor Enterprise Service;McAfee SiteAdvisor Enterprise Service;c:\program files (x86)\McAfee\SiteAdvisor Enterprise\McSACore.exe [2009-12-16 222528]
R2 McAfeeEngineService;McAfee Engine Service;c:\program files (x86)\McAfee\VirusScan Enterprise\x64\EngineServer.exe [2010-01-06 20792]
R2 SafeBootClientManager;SafeBoot Client Manager;c:\program files (x86)\McAfee\Endpoint Encryption for PC\SbClientManager.exe [2010-12-14 380988]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 Firehk;McAfee NDIS Intermediate Filter;c:\windows\system32\DRIVERS\firehk.sys [x]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 rimspci;rimspci;c:\windows\system32\drivers\rimspe64.sys [x]
R3 risdpcie;risdpcie;c:\windows\system32\drivers\risdpe64.sys [x]
R3 rixdpcie;rixdpcie;c:\windows\system32\drivers\rixdpe64.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;c:\windows\system32\drivers\Synth3dVsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 tsusbhub;Remote Deskotop USB Hub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R4 3tnUpdateMgrCliLvsHhoHuckingenBrammen;3tn Update Manager - Client (LvsHhoHuckingenBrammen);c:\program files (x86)\3tn Industriesoftware GmbH\LvsHhoHuckingenBrammen\3tnUpdateMgr\3tnUpdateMgrCli.exe [2007-09-21 196608]
R4 3tnUpdateMgrCliLvsHhoOegeBrammen;3tn Update Manager - Client (LvsHhoOegeBrammen);c:\program files (x86)\3tn Industriesoftware GmbH\LvsHhoOegeBrammen\3tnUpdateMgr\3tnUpdateMgrCli.exe [2006-04-27 200704]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S0 SafeBoot;SafeBoot; [x]
S0 SBAlg;SBAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 NEOFLTR_700_18107;Juniper Networks TDI Filter Driver (NEOFLTR_700_18107);c:\windows\system32\Drivers\NEOFLTR_700_18107.SYS [x]
S1 RsvLock;RsvLock; [x]
S1 SbFlop;SbFlop; [x]
S1 SbRegFlt;SbRegFlt; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 277032]
S2 AdobeActiveFileMonitor9.0;Adobe Active File Monitor V9;c:\program files (x86)\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe [2010-09-30 169408]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\AESTSr64.exe [2009-03-02 89600]
S2 FIMPasswordReset;Forefront Identity Manager Password Reset Client Service;c:\program files\Microsoft Forefront Identity Manager\2010\Password Reset Client Service\PwdMgmtProxy.exe [2010-08-18 75608]
S2 hips;McAfee HIPSCore Service;c:\program files (x86)\McAfee\Host Intrusion Prevention\HIPSCore\x64\HIPSvc.exe [2010-06-15 39840]
S2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-08-23 103992]
S2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-07-21 103992]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [x]
S2 radexecd;HPCA Notify Daemon;c:\program files (x86)\Hewlett-Packard\PC COE 3\OV CMS\radexecd.exe [2010-04-21 300776]
S2 radsched;HPCA Scheduler Daemon;c:\program files (x86)\Hewlett-Packard\PC COE 3\OV CMS\radsched.exe [2010-04-21 190184]
S2 Radstgms;HPCA MSI Redirector;c:\program files (x86)\Hewlett-Packard\PC COE 3\OV CMS\Radstgms.exe [2010-04-21 333544]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 FirehkMP;FirehkMP;c:\windows\system32\DRIVERS\firehk.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 HIPK;McAfee Inc. HIPK;c:\windows\system32\drivers\HIPK.sys [x]
S3 HIPPSK;McAfee Inc. HIPPSK;c:\windows\system32\drivers\HIPPSK.sys [x]
S3 HIPQK;McAfee Inc. HIPQK;c:\windows\system32\drivers\HIPQK.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\DRIVERS\LEqdUsb.Sys [x]
S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\DRIVERS\LHidEqd.Sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETwNs64;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 RadiaMsi;RadiaMsi;c:\windows\system32\DRIVERS\radiamsi.sys [x]
S3 rismcx64;RICOH Smart Card Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{86E45973-5352-439F-A115-2E8EE4D40140}]
2011-02-17 18:00        188416        ----a-w-        c:\program files (x86)\Common Files\Hewlett-Packard\ActSet\HpActSet.exe
.
Contents of the 'Scheduled Tasks' folder
.
2012-02-06 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1957994488-842925246-40105171-928762Core.job
- c:\users\****\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-18 19:59]
.
2012-02-07 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1957994488-842925246-40105171-928762UA.job
- c:\users\****\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-18 19:59]
.
2012-02-07 c:\windows\Tasks\IDA{07A2D605-F561-11D1-BEE5-AC785AC8CD4E}000.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-02-07 c:\windows\Tasks\IDA{07A2D605-F561-11D1-BEE5-AC785AC8CD4E}001.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-02-07 c:\windows\Tasks\IDA{5B940D5F-0A3F-11D2-95B5-080009DC8202}000.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-02-07 c:\windows\Tasks\IDA{5B940D5F-0A3F-11D2-95B5-080009DC8202}001.job
- c:\program files (x86)\Hewlett-Packard\PC COE\coetl32.exe [2007-06-24 03:27]
.
2012-02-07 c:\windows\Tasks\IDA{E1B2A4DD-AE06-4B97-9B55-8E8F1348E7FB}000.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
2012-02-07 c:\windows\Tasks\Maint.job
- c:\program files (x86)\Hewlett-Packard\PC COE\IDASnapIn2.exe [2010-10-28 12:35]
.
2012-02-07 c:\windows\Tasks\pcpm-collector.job
- c:\program files (x86)\Hewlett-Packard\PC COE\IDASnapIn2.exe [2010-10-28 12:35]
.
2012-02-07 c:\windows\Tasks\pcpm-consolidator.job
- c:\program files (x86)\Hewlett-Packard\PC COE\IDASnapIn2.exe [2010-10-28 12:35]
.
2012-02-07 c:\windows\Tasks\sc-healthcheck.job
- c:\program files (x86)\Hewlett-Packard\PC COE\IDASnapIn2.exe [2010-10-28 12:35]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 196648]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 483880]
"HPRAService"="c:\program files\RA2HP\HPRAService.exe" [2010-08-13 126464]
"PasswordRegistration"="c:\windows\system32\MsPwdRegistration.exe" [2010-08-18 31080]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-19 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-19 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-19 415256]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-09-08 489472]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-07-21 8192]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-08-23 1691192]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 130576]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-07-28 497648]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Supplementary Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://athp.hp.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
Trusted Zone: compaq.com
Trusted Zone: compaq.com.ar
Trusted Zone: compaq.com.br
Trusted Zone: compaq.com.co
Trusted Zone: compaq.com.mx
Trusted Zone: compaq.com.sg
Trusted Zone: compaq.com.ve
Trusted Zone: cpqcorp.net
Trusted Zone: dcu.org
Trusted Zone: eds.com
Trusted Zone: hp.com
Trusted Zone: hpqcorp.net
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\rv4ysdgd.default\
.
- - - - ORPHANS REMOVED - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
HKLM-Run-(Default) - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-3806157465-3994380020-3745351282-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4b,28,6f,de,c5,06,32,40,b8,be,7e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4b,28,6f,de,c5,06,32,40,b8,be,7e,\
.
[HKEY_USERS\S-1-5-21-3806157465-3994380020-3745351282-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gz\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\PhotoshopElementsEditor.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2012-02-07  14:14:15
ComboFix-quarantined-files.txt  2012-02-07 13:14
.
Pre-Run: 111.211.655.168 bytes free
Post-Run: 111.156.166.656 bytes free
.
- - End Of File - - 873B2AE3F2004CA44E00F63C3925D0B6
--- --- ---

Vielen Dank und lieben Gruß
Lutz

cosinus 07.02.2012 15:07
Welche Probleme sind eigentlich mittlerweile noch offen, so mal als Zwischenergebnis?

LPS 07.02.2012 15:28
Hey Arne,

mir sind keine Probleme mehr über den Weg gelaufen.

Nach dem System-Reset zum Wiederherstellungspunkt 2 Tage vor dem Zugriff durch den Trojaner und den Scans von

- Malwarebytes, (5 infizierte Dateien)
- ESET, (all okay)
- OTL,
- Panda Online, (2 Funde)
- TDSS-Killer und (ohne Befund)
- ComboFix (all ok)

sind gerade keine aktuellen Probleme auffällig. Es bleiben die beiden Befürchtungen, dass nur einzelne Dateien infiziert sein könnten und die Schwachstelle nicht geschlossen ist.

Lieben Gruß
Lutz

cosinus 07.02.2012 16:36
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

LPS 07.02.2012 21:25
Guten Abend Arne,

hier ist die aswMBR.txt:


Code:

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-07 21:16:02
-----------------------------
21:16:02.895    OS Version: Windows x64 6.1.7601 Service Pack 1
21:16:02.895    Number of processors: 4 586 0x2505
21:16:02.896    ComputerName: **** UserName: ****
21:16:06.538    Initialize success
21:18:38.359    AVAST engine defs: 12020701
21:21:28.451    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
21:21:28.454    Disk 0 Vendor: TOSHIBA_ LH01 Size: 305245MB BusType: 3
21:21:28.471    Disk 0 MBR read successfully
21:21:28.473    Disk 0 MBR scan
21:21:28.509    Disk 0 unknown MBR code
21:21:28.531    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS            305243 MB offset 2048
21:21:28.566    Service scanning
21:21:36.342    Service SafeBoot C:\Windows\System32\Drivers\SafeBoot.sys **LOCKED** 32
21:21:40.002    Modules scanning
21:21:40.006    Disk 0 trace - called modules:
21:21:40.038    ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys ACPI.sys iaStor.sys hal.dll
21:21:40.043    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80059e3060]
21:21:40.047    3 CLASSPNP.SYS[fffff880017ac43f] -> nt!IofCallDriver -> [0xfffffa8005877b10]
21:21:40.376    5 hpdskflt.sys[fffff88001bf4189] -> nt!IofCallDriver -> [0xfffffa80049c1e40]
21:21:40.381    7 ACPI.sys[fffff88000f077a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004a37050]
21:21:42.144    AVAST engine scan C:\Windows
21:21:42.160    AVAST engine scan C:\Windows\system32
21:21:42.168    AVAST engine scan C:\Windows\system32\drivers
21:21:42.175    AVAST engine scan C:\Users\****
21:21:42.182    AVAST engine scan C:\ProgramData
21:21:42.187    Scan finished successfully
21:23:02.871    Disk 0 MBR has been saved successfully to "C:\Users\****\Desktop\MBR.dat"
21:23:02.883    The log file has been saved successfully to "C:\Users\****\Desktop\aswMBR.txt"
Danke Dir!

Lieben Gruß
Lutz

cosinus 07.02.2012 22:12
Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

LPS 07.02.2012 22:30
Guten Abend Arne,

Du bist wirklich ganz schön fleißig, wenn ich mir mal die Uhrzeiten anschaue, zu denen Du hier Antworten verfaßt!

Ich habe in der Tat eine Vollverschlüsselung der Windows-Festplatte. McAfee Endpoint Encryption heißt es. Damit lassen wir den MBR ungefixt, richtig?

Lieben Gruß
Lutz

cosinus 07.02.2012 22:38
Genau richtig erkannt! :daumenhoc

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

LPS 08.02.2012 08:16
Guten Morgen Arne,

hier ist schon mal das Malwarebytes-Protokoll. SuperAntiSpyware wird gerade installiert....

Bis später :)

Lieben Gruß
Lutz

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.07.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
****:: **** [Administrator]

Schutz: Aktiviert

08.02.2012 00:46:14
mbam-log-2012-02-08 (00-46-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 522178
Laufzeit: 2 Stunde(n), 24 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Program Files (x86)\Hewlett-Packard\PC COE 3\OV CMS\Lib\cache\MFE_MGMTAGENT_EN\CleanWipe\ESUGDlgControl.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Hewlett-Packard\PC COE 3\OV CMS\Lib\cache\MFE_MGMTAGENT_EN\CleanWipe\ESUGMSI.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

LPS 08.02.2012 12:49
Hallo Arne,

hier der Auszug aus dem SuperAntiSpyware Log. Ich habe das Programm noch offen und nichts bereinigt.

Die Datei Loader (ganz unten) ist ein NoCD-Patch für ein älteres Spiel.

Vielen Dank und herzlichen Gruß
Lutz

Code:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/08/2012 at 12:39 PM

Application Version : 5.0.1144

Core Rules Database Version : 8214
Trace Rules Database Version: 6026

Scan type      : Complete Scan
Total Scan Time : 03:03:08

Operating System Information
Windows 7 Enterprise 64-bit, Service Pack 1 (Build 6.01.7601)
UAC Off - Administrator

Memory items scanned      : 799
Memory threats detected  : 0
Registry items scanned    : 69009
Registry threats detected : 3
File items scanned        : 268332
File threats detected    : 66

Browser Hijacker.Internet Explorer Zone Hijack
        (x86) HKU\S-1-5-21-3806157465-3994380020-3745351282-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\compaq.com.br
        (x86) HKU\S-1-5-21-3806157465-3994380020-3745351282-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\compaq.com.br#*
        (x86) HKU\S-1-5-21-3806157465-3994380020-3745351282-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\compaq.com.br#http

Adware.Tracking Cookie
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@2o7[2].txt [ /2o7 ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@collective-media[2].txt [ /collective-media ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@doubleclick[2].txt [ /doubleclick ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@googleads.g.doubleclick[1].txt [ /googleads.g.doubleclick ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@invitemedia[2].txt [ /invitemedia ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@liveperson[1].txt [ /liveperson ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@liveperson[3].txt [ /liveperson ]
        C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\hpadmin@sales.liveperson[1].txt [ /sales.liveperson ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@doubleclick[2].txt [ Cookie:hpadmin@doubleclick.net/ ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@sales.liveperson[1].txt [ Cookie:hpadmin@sales.liveperson.net/ ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@liveperson[3].txt [ Cookie:hpadmin@liveperson.net/hc/57472748 ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@collective-media[2].txt [ Cookie:hpadmin@collective-media.net/ ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@googleads.g.doubleclick[1].txt [ Cookie:hpadmin@googleads.g.doubleclick.net/ ]
        C:\USERS\ADMINISTRATOR\Cookies\hpadmin@liveperson[1].txt [ Cookie:hpadmin@liveperson.net/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\ZFGK2BSD.txt [ Cookie:****@doubleclick.net/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\WFGUN8FG.txt [ Cookie:****@2o7.net/ ]
        C:\USERS\****\Cookies\ZFGK2BSD.txt [ Cookie:****@doubleclick.net/ ]
        C:\USERS\****\Cookies\WFGUN8FG.txt [ Cookie:****@2o7.net/ ]
        .doubleclick.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .im.banner.t-online.de [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .xiti.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .unitymedia.de [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .unitymedia.de [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .im.banner.t-online.de [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        ad4.adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        ad.zanox.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .zanox.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        tracking.mlsat02.de [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        ad2.adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        ad3.adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .apmebf.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RV4YSDGD.DEFAULT\COOKIES.SQLITE ]
        C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\SYSTEM@2O7[2].TXT [ /2O7 ]

Trojan.Agent/Gen-Krpytik
        C:\USERS\****\PRIVAT\STARCRAFT V1.1 ILDR\INFECTED\REGSETUP.EXE
        C:\USERS\****\PRIVAT\STARCRAFT V1.1 ILDR\REGSETUP.EXE

Trojan.Unclassified/Loader-Suspicious
        C:\USERS\****\PRIVAT\STARCRAFT V1.1 ILDR\LOADER.EXE

Heur.Agent/Gen-WhiteBox
        C:\USERS\****\PROJEKTE\PM TOOLBOX\PROGRAMME\PIDGIN-LIBBNET-0.7.1.EXE


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:33 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131