Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Packer.ModifiedUPX in C:\Program Files\TopOCR\mb1.exe und Trojan.Zbot in F:\Eigene Datein\Desktop\PureRa.exe (https://www.trojaner-board.de/124675-packer-modifiedupx-c-program-files-topocr-mb1-exe-trojan-zbot-f-eigene-datein-desktop-purera-exe.html)

Animor 25.09.2012 17:07
Packer.ModifiedUPX in C:\Program Files\TopOCR\mb1.exe und Trojan.Zbot in F:\Eigene Datein\Desktop\PureRa.exe
 
Hallo Trojaner-Board-Team,
ich habe vor kurzem bemerkt, dass sich Desktopicons nicht mehr mit der Maus ziehen und verschieben lassen, obwohl keine Veränderung in den Anordnungseinstellungen vorgenommen wurde. Das heißt, weder bei den Einstellungsmöglichkeiten "automatisch anordnen", noch bei "am Raster ausrichten" ist ein Haken eingetragen. Nun habe ich Malwarebytes durchlaufen lassen. Bei dem Quickscann wurde Trojan.Zbot (in F:\Eigene Datein\Desktop\PureRa.exe) und beim vollständigen Scan wurde noch Packer.ModifiedUPX (in C:\Program Files\TopOCR\mb1.exe) gefunden. Die sind jetzt in Quarantäne. Was ist der nächste Schritt? Anbei findet ihr die Logdateien.
Vielen Dank vorab für eure Hilfe!

schrauber 26.09.2012 08:16
Hi,

Logs bitte immer in den thread posten, nicht anhängen, das macht es einfacher zu lesen.

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Animor 26.09.2012 11:19
Hi,
danke für deine Antwort. Hier die Log von Combo.Fix:

Combofix Logfile:
Code:
ComboFix 12-09-24.03 - romschay 26.09.2012  11:34:35.2.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.2038.861 [GMT 2:00]
ausgeführt von:: f:\eigene datein\Download\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-26 bis 2012-09-26  ))))))))))))))))))))))))))))))
.
.
2012-09-26 09:45 . 2012-09-26 09:46        --------        d-----w-        c:\users\romschay\AppData\Local\temp
2012-09-26 09:45 . 2012-09-26 09:45        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-09-25 11:35 . 2012-08-30 08:17        6980552        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{92BF102C-7CC9-4AD2-ABEC-C1670B5130F1}\mpengine.dll
2012-09-24 16:11 . 2012-09-24 16:12        --------        d-----w-        C:\Films francais
2012-09-24 15:58 . 2012-09-24 15:58        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-09-24 15:58 . 2012-09-07 15:04        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-31 19:06 . 2012-08-31 19:06        --------        d-----w-        c:\users\romschay\AppData\Roaming\Telefónica
2012-08-31 19:04 . 2010-11-04 09:51        85248        ----a-w-        c:\windows\system32\drivers\ew_jucdcacm.sys
2012-08-31 19:04 . 2010-10-09 06:48        72576        ----a-w-        c:\windows\system32\drivers\ew_jubusenum.sys
2012-08-31 19:04 . 2010-09-26 10:00        51456        ----a-w-        c:\windows\system32\drivers\ew_jucdcecm.sys
2012-08-31 19:04 . 2010-09-26 10:00        26496        ----a-w-        c:\windows\system32\drivers\ew_juextctrl.sys
2012-08-31 19:04 . 2008-03-27 08:49        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll
2012-08-31 19:04 . 2008-03-27 08:49        1112288        ----a-w-        c:\windows\system32\drivers\WdfCoInstaller01007.dll
2012-08-31 19:04 . 2010-08-27 05:53        116736        ----a-w-        c:\windows\system32\drivers\ewusbnet.sys
2012-08-31 19:04 . 2010-08-07 09:48        106880        ----a-w-        c:\windows\system32\drivers\ewusbmdm.sys
2012-08-31 19:04 . 2010-05-10 06:18        860928        ----a-w-        c:\windows\system32\drivers\mod7700.sys
2012-08-31 19:04 . 2010-03-20 04:06        11136        ----a-w-        c:\windows\system32\drivers\ew_usbenumfilter.sys
2012-08-31 19:04 . 2007-08-08 20:06        23424        ----a-w-        c:\windows\system32\drivers\ewdcsc.sys
2012-08-31 19:04 . 2010-07-27 01:52        102784        ----a-w-        c:\windows\system32\drivers\ew_hwusbdev.sys
2012-08-31 19:03 . 2012-08-31 19:05        --------        d-----w-        c:\program files\HUAWEI Modem Driver
2012-08-31 19:03 . 2012-08-31 19:03        --------        d-----w-        c:\program files\o2
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-21 15:19 . 2012-03-30 10:20        696240        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-21 15:19 . 2011-06-13 13:42        73136        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-28 18:24 . 2012-06-25 13:20        477168        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-08-28 18:24 . 2010-05-06 21:05        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-07-04 14:02 . 2012-08-16 08:39        2047488        ----a-w-        c:\windows\system32\win32k.sys
2012-08-04 18:00 . 2011-12-29 14:13        136672        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-02-22 159744]
"RtHDVCpl"="RtHDVCpl.exe" [2008-02-22 4907008]
"OEM13Mon.exe"="c:\windows\OEM13Mon.exe" [2008-07-17 36864]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-05-16 3444736]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-22 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-22 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-22 133656]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\romschay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AERTFilters;Andrea RT Filters Service;c:\windows\system32\AERTSrv.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 15:19]
.
2012-09-26 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2011-08-16 15:09]
.
2012-09-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000Core.job
- c:\users\romschay\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-18 12:00]
.
2012-09-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000UA.job
- c:\users\romschay\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-18 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
mStart Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE: Free YouTube Download - c:\users\romschay\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: Interfaces\{AE7984C3-1AAB-4F93-AB1B-B600282A7303}: NameServer = 192.168.0.1,192.168.0.2
FF - ProfilePath - c:\users\romschay\AppData\Roaming\Mozilla\Firefox\Profiles\cebzaho0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.9&q=
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-26 11:45
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-09-26  11:49:14
ComboFix-quarantined-files.txt  2012-09-26 09:49
ComboFix2.txt  2012-09-26 09:26
.
Vor Suchlauf: 19 Verzeichnis(se), 71.467.376.640 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 71.441.862.656 Bytes frei
.
- - End Of File - - 966BFCDD9D7FA6B23A1ABC1B9681A1F7
--- --- ---

schrauber 26.09.2012 11:22
Hi,

geh mal bitte in den Ordner C:\Qoobox und poste den Inhalt der Combofix2.txt.

Animor 26.09.2012 11:37
Ok, hier die Log aus Qoobox. Viele Grüße!

Combofix Logfile:
Code:
ComboFix 12-09-24.03 - romschay 26.09.2012  11:09:01.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.2038.909 [GMT 2:00]
ausgeführt von:: f:\eigene datein\Download\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\SecureW2
c:\program files\SecureW2\Uninstall.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2\TTLS Manager.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2\Uninstall.lnk
c:\users\romschay\AppData\Local\assembly\tmp
c:\users\romschay\AppData\Local\TempDIR
c:\users\romschay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SecureW2
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-26 bis 2012-09-26  ))))))))))))))))))))))))))))))
.
.
2012-09-26 09:21 . 2012-09-26 09:22        --------        d-----w-        c:\users\romschay\AppData\Local\temp
2012-09-26 09:21 . 2012-09-26 09:21        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-09-26 09:17 . 2012-09-26 09:17        56200        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{92BF102C-7CC9-4AD2-ABEC-C1670B5130F1}\offreg.dll
2012-09-25 11:35 . 2012-08-30 08:17        6980552        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{92BF102C-7CC9-4AD2-ABEC-C1670B5130F1}\mpengine.dll
2012-09-24 16:11 . 2012-09-24 16:12        --------        d-----w-        C:\Films francais
2012-09-24 15:58 . 2012-09-24 15:58        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-09-24 15:58 . 2012-09-07 15:04        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-31 19:06 . 2012-08-31 19:06        --------        d-----w-        c:\users\romschay\AppData\Roaming\Telefónica
2012-08-31 19:04 . 2010-11-04 09:51        85248        ----a-w-        c:\windows\system32\drivers\ew_jucdcacm.sys
2012-08-31 19:04 . 2010-10-09 06:48        72576        ----a-w-        c:\windows\system32\drivers\ew_jubusenum.sys
2012-08-31 19:04 . 2010-09-26 10:00        51456        ----a-w-        c:\windows\system32\drivers\ew_jucdcecm.sys
2012-08-31 19:04 . 2010-09-26 10:00        26496        ----a-w-        c:\windows\system32\drivers\ew_juextctrl.sys
2012-08-31 19:04 . 2008-03-27 08:49        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll
2012-08-31 19:04 . 2008-03-27 08:49        1112288        ----a-w-        c:\windows\system32\drivers\WdfCoInstaller01007.dll
2012-08-31 19:04 . 2010-08-27 05:53        116736        ----a-w-        c:\windows\system32\drivers\ewusbnet.sys
2012-08-31 19:04 . 2010-08-07 09:48        106880        ----a-w-        c:\windows\system32\drivers\ewusbmdm.sys
2012-08-31 19:04 . 2010-05-10 06:18        860928        ----a-w-        c:\windows\system32\drivers\mod7700.sys
2012-08-31 19:04 . 2010-03-20 04:06        11136        ----a-w-        c:\windows\system32\drivers\ew_usbenumfilter.sys
2012-08-31 19:04 . 2007-08-08 20:06        23424        ----a-w-        c:\windows\system32\drivers\ewdcsc.sys
2012-08-31 19:04 . 2010-07-27 01:52        102784        ----a-w-        c:\windows\system32\drivers\ew_hwusbdev.sys
2012-08-31 19:03 . 2012-08-31 19:05        --------        d-----w-        c:\program files\HUAWEI Modem Driver
2012-08-31 19:03 . 2012-08-31 19:03        --------        d-----w-        c:\program files\o2
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-21 15:19 . 2012-03-30 10:20        696240        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-21 15:19 . 2011-06-13 13:42        73136        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-28 18:24 . 2012-06-25 13:20        477168        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-08-28 18:24 . 2010-05-06 21:05        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-07-04 14:02 . 2012-08-16 08:39        2047488        ----a-w-        c:\windows\system32\win32k.sys
2012-08-04 18:00 . 2011-12-29 14:13        136672        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-02-22 159744]
"RtHDVCpl"="RtHDVCpl.exe" [2008-02-22 4907008]
"OEM13Mon.exe"="c:\windows\OEM13Mon.exe" [2008-07-17 36864]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-05-16 3444736]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-22 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-22 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-22 133656]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\romschay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AERTFilters;Andrea RT Filters Service;c:\windows\system32\AERTSrv.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 15:19]
.
2012-09-26 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2011-08-16 15:09]
.
2012-09-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000Core.job
- c:\users\romschay\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-18 12:00]
.
2012-09-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000UA.job
- c:\users\romschay\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-18 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
mStart Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE: Free YouTube Download - c:\users\romschay\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: Interfaces\{AE7984C3-1AAB-4F93-AB1B-B600282A7303}: NameServer = 192.168.0.1,192.168.0.2
FF - ProfilePath - c:\users\romschay\AppData\Roaming\Mozilla\Firefox\Profiles\cebzaho0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.9&q=
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
Notify-!SASWinLogon - c:\program files\SUPERAntiSpyware\SASWINLO.DLL
AddRemove-SecureW2 Personal Client - Distribution Edition - c:\program files\SecureW2\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-26 11:21
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-09-26  11:26:11
ComboFix-quarantined-files.txt  2012-09-26 09:26
.
Vor Suchlauf: 17 Verzeichnis(se), 71.430.336.512 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 71.440.060.416 Bytes frei
.
- - End Of File - - 3C1AAC769D3F99C1E5A615B5424EA7FF
--- --- ---

schrauber 26.09.2012 11:50
Ok,

Malwarebytes bitte updaten, Vollscan aller Platten, Funde löschen lassen, Log posten.



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte poste ein frisches OTL logfile und sag mir ob du noch Probleme hast.

Animor 26.09.2012 23:23
Hallo, ich habe alles durchlaufen lassen. Malwarebytes hat nichts gefunden, dafür wurden bei Eset 8 verdächtige Dateien identifiziert. Außerdem habe ich vor dem ersten Durchlauf den Windows Defender ausgeschaltet und nun kann ich diesen nicht mehr aktivieren. Es erscheint die Fehlermeldung: "Fehler bei Anwendungsinitialisierung. 0x800106ba" usw. Und hier die Logs von Malwarebytes, ESET und OTL. Danke für deine Hilfe!

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.26.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
romschay :: ROMSCHAY-PC [Administrator]

Schutz: Aktiviert

26.09.2012 13:26:21
mbam-log-2012-09-26 (13-26-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 378138
Laufzeit: 1 Stunde(n), 40 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)



ESET Log:

C:\Program Files\Glary Utilities\v9gls.exe probably a variant of Win32/ELEX application
C:\Users\romschay\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\P7Z3JMB8\search_foxtab_com[1].htm HTML/ScrInject.B.Gen virus
C:\Users\romschay\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\288d918-1b6206b0 Java/Exploit.Agent.AT trojan
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OA8HHA8F\index[1].htm JS/Kryptik.BX trojan
F:\Eigene Datein\Download\asc-setup.exe a variant of Win32/Toolbar.Widgi application
F:\Eigene Datein\Download\cnet_spywareblastersetup44_exe.exe a variant of Win32/InstallCore.D application
F:\Eigene Datein\Download\gusetup(1).exe probably a variant of Win32/ELEX application
F:\Eigene Datein\Download\gusetup.exe probably a variant of Win32/ELEX application

OTL Log:OTL Logfile:
Code:
OTL logfile created on: 26.09.2012 23:45:36 - Run 2
OTL by OldTimer - Version 3.2.68.0    Folder = F:\Eigene Datein\Download
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 0,75 Gb Available Physical Memory | 37,76% Memory free
4,22 Gb Paging File | 3,05 Gb Available in Paging File | 72,42% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 127,07 Gb Total Space | 66,31 Gb Free Space | 52,18% Space Free | Partition Type: NTFS
Drive D: | 10,00 Gb Total Space | 3,47 Gb Free Space | 34,68% Space Free | Partition Type: NTFS
[/U]Drive F: | 95,71 Gb Total Space | 10,40 Gb Free Space | 10,87% Space Free | Partition Type: NTFS
 
Computer Name: ROMSCHAY-PC | User Name: romschay | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.09.26 23:43:29 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Eigene Datein\Download\OTL (1).exe
PRC - [2012.09.07 17:04:46 | 000,676,936 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.09.07 17:04:46 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.09.07 17:04:44 | 000,766,536 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.08.08 12:51:35 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.27 22:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.05.08 11:06:17 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 11:06:16 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.08 11:06:15 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) -- C:\Programme\o2\Mobile Connection Manager\ImpWiFiSvc.exe
PRC - [2010.02.01 22:51:56 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2010.02.01 22:51:52 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.07.17 07:32:06 | 000,036,864 | ---- | M] (Creative Technology Ltd.) -- C:\Windows\OEM13Mon.exe
PRC - [2008.02.22 07:25:06 | 000,040,960 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Programme\DellTPad\hidfind.exe
PRC - [2008.02.22 07:24:56 | 000,159,744 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Programme\DellTPad\Apoint.exe
PRC - [2008.02.22 07:24:54 | 000,050,736 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Programme\DellTPad\ApMsgFwd.exe
PRC - [2008.02.22 07:24:54 | 000,049,152 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Programme\DellTPad\ApntEx.exe
PRC - [2008.02.22 07:14:22 | 004,907,008 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2008.02.22 07:14:18 | 000,077,824 | ---- | M] (Andrea Electronics Corporation) -- C:\Windows\System32\AERTSrv.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.06.15 14:00:38 | 011,820,032 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\508b444db523c5cf20ff12c7f440837b\System.Web.ni.dll
MOD - [2012.05.10 13:56:53 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\846b9cf2756fdd15f704c9bab9c70b6f\System.Runtime.Remoting.ni.dll
MOD - [2012.05.10 13:51:11 | 007,953,408 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\28d633338fc8d29f8af31935ef7d001b\System.ni.dll
MOD - [2012.05.10 13:50:53 | 011,492,352 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\af9c9e9d7e0523cd444f8b551baa9cbf\mscorlib.ni.dll
MOD - [2010.03.30 14:34:35 | 000,970,752 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2009.03.30 06:42:12 | 000,032,768 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_de_b77a5c561934e089\System.Runtime.Remoting.resources.dll
MOD - [2009.03.30 06:42:11 | 000,315,392 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2008.05.16 14:16:24 | 000,054,784 | ---- | M] () -- C:\Windows\System32\bcmwlrmt.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.09.21 17:19:40 | 000,250,288 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.09.07 17:04:46 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.09.07 17:04:46 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.08.04 20:00:02 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.27 22:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.05.08 11:06:17 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 11:06:15 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) [Auto | Running] -- C:\Programme\o2\Mobile Connection Manager\ImpWiFiSvc.exe -- (TGCM_ImportWiFiSvc)
SRV - [2008.02.22 07:14:18 | 000,077,824 | ---- | M] (Andrea Electronics Corporation) [Auto | Running] -- C:\Windows\System32\AERTSrv.exe -- (AERTFilters)
SRV - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\romschay\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
DRV - [2012.09.07 17:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.05.08 11:06:17 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 11:06:17 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.03.16 19:00:08 | 000,032,672 | ---- | M] (IObit Information Technology) [File_System | Auto | Running] -- C:\Programme\IObit\Protected Folder\pffilter.sys -- (PfFilter)
DRV - [2011.02.23 16:52:34 | 000,016,184 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SmartDefragDriver.sys -- (SmartDefragDriver)
DRV - [2010.10.09 08:48:36 | 000,072,576 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ew_jubusenum.sys -- (huawei_enumerator)
DRV - [2010.08.27 07:53:46 | 000,116,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2010.08.07 11:48:42 | 000,106,880 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2010.07.27 03:52:02 | 000,102,784 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.01.07 04:49:00 | 000,057,856 | ---- | M] (SCM Microsystems Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SCR3XX2K.sys -- (SCR3XX2K)
DRV - [2009.04.11 06:38:59 | 000,030,208 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbccid.sys -- (USBCCID)
DRV - [2008.07.17 07:32:12 | 000,235,840 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vid.sys -- (OEM13Vid)
DRV - [2008.07.17 07:32:10 | 000,007,424 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vfx.sys -- (OEM13Vfx)
DRV - [2008.02.22 10:20:48 | 000,106,496 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2008.02.22 07:38:34 | 000,043,480 | ---- | M] (O2Micro ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\o2sd.sys -- (O2SDRDR)
DRV - [2008.02.22 07:38:28 | 000,048,472 | ---- | M] (O2Micro ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\o2media.sys -- (O2MDRDR)
DRV - [2008.02.22 07:24:52 | 000,155,136 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2008.01.21 04:23:25 | 000,251,904 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VSTBS23.SYS -- (VSTHWBS2)
DRV - [2008.01.21 04:23:25 | 000,220,672 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express)
DRV - [2006.11.02 09:36:43 | 002,028,032 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE - HKLM\..\SearchScopes,DefaultScope = {36668FFD-7809-43FB-A609-999C5A7AB5FE}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{36668FFD-7809-43FB-A609-999C5A7AB5FE}: "URL" = hxxp://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7DADE
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {6552C7DD-90A4-4387-B795-F8F96747DE19}
IE - HKCU\..\SearchScopes\{36668FFD-7809-43FB-A609-999C5A7AB5FE}: "URL" = hxxp://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDtBtByCzz0CyE0CtCyE0DtDyE0E0C0CtN0D0TzutBtDtCtCtDzztCyC&cr=607154381
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7DADE
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.9&q="
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledAddons: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}:1.4.5
FF - prefs.js..extensions.enabledAddons: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20120515
FF - prefs.js..extensions.enabledAddons: toolbar@web.de:2.1.4
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_35: C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\romschay\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\romschay\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}: C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox [2012.03.01 14:32:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.04 20:00:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.08.15 12:49:03 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.04 20:00:03 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.08.15 12:49:03 | 000,000,000 | ---D | M]
 
[2008.09.18 23:24:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\Extensions
[2012.09.24 18:19:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\Firefox\Profiles\cebzaho0.default\extensions
[2012.05.18 13:50:26 | 000,000,000 | ---D | M] (WOT) -- C:\Users\romschay\AppData\Roaming\mozilla\Firefox\Profiles\cebzaho0.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2012.03.21 16:45:40 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\romschay\AppData\Roaming\mozilla\Firefox\Profiles\cebzaho0.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.09.24 18:19:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\Firefox\Profiles\cebzaho0.default\extensions\staged
[2012.06.29 14:25:36 | 000,572,017 | ---- | M] () (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\firefox\profiles\cebzaho0.default\extensions\toolbar@web.de.xpi
[2012.03.28 15:59:23 | 000,685,019 | ---- | M] () (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\firefox\profiles\cebzaho0.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}.xpi
[2012.09.24 18:19:02 | 000,518,756 | ---- | M] () (No name found) -- C:\Users\romschay\AppData\Roaming\mozilla\firefox\profiles\cebzaho0.default\extensions\staged\toolbar@web.de.xpi
[2011.08.16 12:16:25 | 000,005,423 | ---- | M] () -- C:\Users\romschay\AppData\Roaming\mozilla\firefox\profiles\cebzaho0.default\searchplugins\Foxtab Web Search.xml
[2012.09.16 20:04:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.25 15:20:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2012.09.16 20:04:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2011.12.29 16:13:24 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\distribution\extensions
[2011.12.29 16:13:24 | 000,000,000 | ---D | M] (WEB.DE Toolbar) -- C:\Programme\Mozilla Firefox\distribution\extensions\toolbar@web.de
[2012.08.04 20:00:03 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.03.19 14:47:38 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.19 14:47:38 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.03.19 14:47:38 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.19 14:47:38 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.19 14:47:38 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.19 14:47:38 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\romschay\AppData\Local\Google\Chrome\Application\21.0.1180.60\PepperFlash\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\romschay\AppData\Local\Google\Chrome\Application\21.0.1180.89\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Users\romschay\AppData\Local\Google\Chrome\Application\21.0.1180.89\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\romschay\AppData\Local\Google\Chrome\Application\21.0.1180.89\pdf.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
CHR - plugin: Java(TM) Platform SE 6 U33 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Java Deployment Toolkit 6.0.330.3 (Enabled) = C:\Windows\system32\npdeployJava1.dll
CHR - plugin: Google Update (Enabled) = C:\Users\romschay\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
 
O1 HOSTS File: ([2012.09.26 11:21:48 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll (Dell Inc.)
O4 - HKLM..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DELL Webcam Manager] C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [dscactivate] C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe ( )
O4 - HKLM..\Run: [ECenter] C:\DELL\E-Center\EULALauncher.exe ( )
O4 - HKLM..\Run: [OEM13Mon.exe] C:\Windows\OEM13Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - Startup: C:\Users\romschay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Free YouTube Download - C:\Users\romschay\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AE7984C3-1AAB-4F93-AB1B-B600282A7303}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BE5678D7-D346-4303-BB93-B230832B1317}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) -  File not found
O24 - Desktop WallPaper: C:\Users\romschay\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\romschay\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.26 19:57:00 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012.09.26 13:17:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.09.26 13:17:06 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.09.26 13:17:05 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.09.26 11:49:18 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.09.26 11:49:17 | 000,000,000 | ---D | C] -- C:\Users\romschay\AppData\Local\temp
[2012.09.26 11:00:04 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.09.26 11:00:04 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.09.26 11:00:04 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.09.26 10:56:56 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.09.26 10:55:08 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.09.24 18:11:53 | 000,000,000 | ---D | C] -- C:\Films francais
[2012.09.23 13:19:47 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012.09.23 13:19:44 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012.09.23 13:19:43 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2012.09.23 13:19:43 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012.09.23 13:19:42 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2012.09.23 13:19:37 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012.09.23 13:19:37 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012.09.23 13:19:32 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012.09.21 15:12:03 | 000,000,000 | ---D | C] -- F:\Eigene Datein\Desktop\com direct
[2012.09.18 18:21:11 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2012.09.16 20:04:24 | 000,157,680 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2012.09.16 20:04:24 | 000,149,488 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2012.09.16 20:04:24 | 000,149,488 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2012.08.31 21:06:06 | 000,000,000 | ---D | C] -- C:\Users\romschay\AppData\Roaming\Telefónica
[2012.08.31 21:04:32 | 001,112,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WdfCoInstaller01007.dll
[2012.08.31 21:04:32 | 001,112,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\WdfCoInstaller01007.dll
[2012.08.31 21:04:32 | 000,085,248 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_jucdcacm.sys
[2012.08.31 21:04:32 | 000,072,576 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_jubusenum.sys
[2012.08.31 21:04:32 | 000,051,456 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_jucdcecm.sys
[2012.08.31 21:04:32 | 000,026,496 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_juextctrl.sys
[2012.08.31 21:04:22 | 000,860,928 | ---- | C] (DiBcom SA) -- C:\Windows\System32\drivers\mod7700.sys
[2012.08.31 21:04:22 | 000,116,736 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ewusbnet.sys
[2012.08.31 21:04:22 | 000,106,880 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ewusbmdm.sys
[2012.08.31 21:04:22 | 000,023,424 | ---- | C] (Huawei Tech. Co., Ltd.) -- C:\Windows\System32\drivers\ewdcsc.sys
[2012.08.31 21:04:22 | 000,011,136 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_usbenumfilter.sys
[2012.08.31 21:04:08 | 000,102,784 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\System32\drivers\ew_hwusbdev.sys
[2012.08.31 21:03:53 | 000,000,000 | ---D | C] -- C:\Program Files\HUAWEI Modem Driver
[2012.08.31 21:03:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\o2
[2012.08.31 21:03:47 | 000,000,000 | ---D | C] -- C:\Program Files\o2
[2012.08.30 17:27:04 | 000,000,000 | ---D | C] -- F:\Eigene Datein\Desktop\Bilder
[14 F:\Eigene Datein\Desktop\*.tmp files -> F:\Eigene Datein\Desktop\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.26 23:42:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.09.26 23:41:04 | 000,001,132 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000UA.job
[2012.09.26 23:26:12 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.09.26 23:26:12 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.09.26 19:26:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.09.26 15:41:05 | 000,001,080 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-955011238-2382927493-3867711304-1000Core.job
[2012.09.26 13:21:08 | 000,000,320 | ---- | M] () -- C:\Windows\tasks\GlaryInitialize.job
[2012.09.26 13:20:48 | 2137,448,448 | -HS- | M] () -- C:\hiberfil.sys
[2012.09.26 13:17:12 | 000,000,908 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.26 11:21:48 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2012.09.26 00:53:39 | 000,220,160 | ---- | M] () -- C:\Users\romschay\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.09.24 18:49:12 | 000,000,000 | ---- | M] () -- C:\Users\romschay\defogger_reenable
[2012.09.23 14:21:51 | 000,309,152 | ---- | M] () -- F:\Eigene Datein\Desktop\00006961_scene001.jpg
[2012.09.21 20:37:42 | 000,002,722 | ---- | M] () -- C:\Users\romschay\.recently-used.xbel
[2012.09.21 20:30:03 | 000,113,122 | ---- | M] () -- F:\Eigene Datein\Desktop\Unbenannt.xcf
[2012.09.21 19:08:08 | 000,301,329 | ---- | M] () -- F:\Eigene Datein\Desktop\Content_Editor_Franzoesisch_w-m_20121209.pdf
[2012.09.21 17:19:39 | 000,696,240 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.09.21 17:19:39 | 000,073,136 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.09.20 13:40:10 | 000,002,501 | ---- | M] () -- F:\Eigene Datein\Desktop\Microsoft Word.lnk
[2012.09.18 18:25:11 | 206,235,841 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.09.18 12:40:05 | 000,021,361 | ---- | M] () -- F:\Eigene Datein\Desktop\PB_KAZ_KtoNr_0954861501_04-09-2012_0951.pdf
[2012.09.16 23:09:13 | 000,628,914 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.09.16 23:09:13 | 000,596,168 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.09.16 23:09:13 | 000,126,626 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.09.16 23:09:13 | 000,104,242 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.09.16 19:24:11 | 000,001,951 | ---- | M] () -- F:\Eigene Datein\Desktop\Google Chrome.lnk
[2012.09.07 17:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.08.31 21:06:02 | 000,001,895 | ---- | M] () -- C:\Users\Public\Desktop\Mobile Connection Manager.lnk
[2012.08.31 21:05:25 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
[2012.08.28 20:24:56 | 000,477,168 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\npdeployJava1.dll
[2012.08.28 20:24:53 | 000,473,072 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2012.08.28 20:10:12 | 000,157,680 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2012.08.28 20:10:07 | 000,149,488 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2012.08.28 20:09:57 | 000,149,488 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[14 F:\Eigene Datein\Desktop\*.tmp files -> F:\Eigene Datein\Desktop\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.09.26 13:17:12 | 000,000,908 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.09.26 11:00:04 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.09.26 11:00:04 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.09.26 11:00:04 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.09.26 11:00:04 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.09.26 11:00:04 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.09.24 18:49:12 | 000,000,000 | ---- | C] () -- C:\Users\romschay\defogger_reenable
[2012.09.23 14:21:55 | 000,309,152 | ---- | C] () -- F:\Eigene Datein\Desktop\00006961_scene001.jpg
[2012.09.21 20:37:42 | 000,002,722 | ---- | C] () -- C:\Users\romschay\.recently-used.xbel
[2012.09.21 20:30:03 | 000,113,122 | ---- | C] () -- F:\Eigene Datein\Desktop\Unbenannt.xcf
[2012.09.21 19:08:08 | 000,301,329 | ---- | C] () -- F:\Eigene Datein\Desktop\Content_Editor_Franzoesisch_w-m_20121209.pdf
[2012.09.18 18:21:03 | 206,235,841 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.09.18 12:40:04 | 000,021,361 | ---- | C] () -- F:\Eigene Datein\Desktop\PB_KAZ_KtoNr_0954861501_04-09-2012_0951.pdf
[2012.08.31 21:06:02 | 000,001,895 | ---- | C] () -- C:\Users\Public\Desktop\Mobile Connection Manager.lnk
[2012.08.31 21:05:25 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
[2012.07.31 14:47:38 | 000,306,840 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.07.09 16:09:16 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2011.10.20 10:21:05 | 000,000,112 | ---- | C] () -- C:\Windows\ActiveSkin.INI
[2011.09.22 14:58:14 | 000,626,688 | ---- | C] () -- C:\Windows\System32\opensc.dll
[2011.09.22 14:58:14 | 000,147,456 | ---- | C] () -- C:\Windows\System32\pkcs15init.dll
[2011.09.22 14:58:14 | 000,061,440 | ---- | C] () -- C:\Windows\System32\pkcs11-spy.dll
[2011.09.22 14:58:14 | 000,059,904 | ---- | C] () -- C:\Windows\System32\zlib1.dll
[2011.09.22 14:58:13 | 000,023,552 | ---- | C] () -- C:\Windows\System32\libp11.dll
[2011.09.21 19:31:52 | 000,000,880 | ---- | C] () -- C:\Windows\HBCIKRNL.INI
[2011.08.16 11:17:23 | 000,023,624 | ---- | C] () -- C:\Windows\System32\drivers\hitmanpro35.sys
[2011.08.14 19:57:19 | 000,029,520 | ---- | C] () -- C:\Windows\System32\SmartDefragBootTime.exe
[2011.08.14 19:57:17 | 000,016,184 | ---- | C] () -- C:\Windows\System32\drivers\SmartDefragDriver.sys
[2011.07.15 13:49:36 | 001,577,984 | ---- | C] () -- C:\Windows\System32\opensc-pkcs11.dll
[2011.07.15 13:49:36 | 001,577,984 | ---- | C] () -- C:\Windows\System32\onepin-opensc-pkcs11.dll
[2011.02.06 14:59:26 | 000,819,200 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2011.02.06 14:59:26 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2011.01.29 18:03:17 | 000,015,428 | ---- | C] () -- C:\Users\romschay\RefEdit.exd
[2008.10.18 23:46:44 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2008.09.05 22:42:45 | 000,220,160 | ---- | C] () -- C:\Users\romschay\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 08:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:5C321E34

< End of report >
--- --- ---

schrauber 27.09.2012 06:21
Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.

Animor 27.09.2012 10:37
Hallo,
die FSS Log findest du angehängt:

Farbar Service Scanner Version: 19-09-2012
Ran by romschay (administrator) on 27-09-2012 at 11:32:28
Running from "F:\Eigene Datein\Download"
Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\ipnathlp.dll
[2008-01-21 04:24] - [2008-01-21 04:24] - 0288256 ____A (Microsoft Corporation) E1499BD0FF76B1B2FBBF1AF339D91165

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

schrauber 27.09.2012 10:52
http://download.bleepingcomputer.com.../WinDefend.reg

bitte auf den desktop laden und starten mit doppelklic, modifikationen erlauben, dananch neustarten und ein frisches FSS log bitte.

Animor 27.09.2012 11:58
So, hier kommt ein frisches FFS Log. Der Windows Defender funktioniert wieder. Aber das Problem mit dem Verschieben der Icons ist noch vorhanden.

Farbar Service Scanner Version: 19-09-2012
Ran by romschay (administrator) on 27-09-2012 at 12:50:44
Running from "F:\Eigene Datein\Download"
Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\ipnathlp.dll
[2008-01-21 04:24] - [2008-01-21 04:24] - 0288256 ____A (Microsoft Corporation) E1499BD0FF76B1B2FBBF1AF339D91165

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

schrauber 27.09.2012 12:03
Erklär mal bitte genauer was Du meinst mit den Icons?

Animor 27.09.2012 12:03
Ich meine, dass Verknüpfungen nicht verschoben werden können. Wenn ich z.B. ein Dokument in einen Ordner verschieben möchte und das mit der Maus dorthin ziehen will, klappt das nicht. Ich dachte erst, es würde an der Einstellung auf dem Desktop liegen, wo man unter Ansicht>am Raster ausrichten oder automatisch ausrichten abhaken kann. Bei mir ist davon aber nichts abgehakt.

schrauber 27.09.2012 12:09
nur auf dem desktop? doppelklick und so funktioniert?

Systemsteuerung/Maus mal geschaut ob alles passt von den Einstellungen?

Animor 27.09.2012 12:42
Vielen Dank nochmal für deine schnelle Hilfe!
In den Mauseinstellungen konnte ich nichts Ungewöhnliches finden.
Ja, der Doppelklick funktioniert.
Ich kann Verknüpfungen überall auf dem PC nicht 'greifen' und verschieben, auch z.B. in meinen Dateien nicht.
Ich habe gerade ausprobiert, ob es mit einer anderen Maus evtl. klappt, die auf meinem anderen Rechner einwandfrei arbeitet. Jedoch spielt diese hier verrückt und bewegt sich in umgekehrter Richtung, wenn ich beispielsweise nach links ziehe, geht sie nach rechts.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:50 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131