Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HTML/DSPark.B (https://www.trojaner-board.de/133982-html-dspark-b.html)

HeAdAche 20.04.2013 17:34
HTML/DSPark.B
 
Hallo nette Gemeinde, gestern hat mein Antivir einen Trojaner gefunden "HTML/DSPark.B". Ich kann ihn aber nicht löschen, was sollte ich am besten tuen?

MfG

edit: habe malwarebztes durchlaufen lassen, und es wurde nichts gefunden :(

cosinus 20.04.2013 18:32
Hallo,

Zitat:
gestern hat mein Antivir einen Trojaner gefunden "HTML/DSPark.B"
Schön und wo sind die Logs dazu? :glaskugel:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

HeAdAche 20.04.2013 20:36
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.20.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Claudita :: CLAUDITA-PC [Administrator]

20.04.2013 18:28:04
mbam-log-2013-04-20 (18-28-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 195986
Laufzeit: 7 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus 20.04.2013 21:13
Was soll ich bitte mit einem Log ohne Funde? :wtf:

HeAdAche 20.04.2013 22:11
Im Echtzeits- Scanner findet er einen Fund, beim normalen Schnell- Scanner findet er nichts.

Code:
19.04.2013,22:23:15 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/DSPark.B!
  C:\Users\Claudita\AppData\Local\Temp\plugtmp-33\plugin-crossdomain.xml
      [INFO] Benutzer: CLAUDITA-PC\CLAUDITA
      [INFO] Datei wurde an Scanner übergeben.
19.04.2013,22:24:49 [INFO] Update-Auftrag gestartet!
19.04.2013,22:25:25 [INFO] Aktuelle Engine Version: 8.2.12.30
19.04.2013,22:25:25 [INFO] Aktuelle Version der VDF-Datei: 7.11.73.162
19.04.2013,23:12:42 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/DSPark.B!
  C:\Users\Claudita\AppData\Local\Temp\plugtmp-33\plugin-crossdomain.xml
      [INFO] Benutzer: CLAUDITA-PC\CLAUDITA
      [INFO] Datei wurde an Scanner übergeben.
19.04.2013,23:43:01 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/DSPark.B!
  C:\Users\Claudita\AppData\Local\Temp\plugtmp-33\plugin-crossdomain.xml
      [INFO] Benutzer: CLAUDITA-PC\CLAUDITA
      [INFO] Datei wurde an Scanner übergeben.

cosinus 20.04.2013 23:59
Sind das alle Funde, Malwarebytes hatte nie etwas gefunden?

HeAdAche 21.04.2013 16:47
Ja, ich hab Malewarebytes mehrmals durchlaufen lassen, es wurde nichts gefunden :/
Auch der normale Scan wie beschrieben von Antivir findet nicht. Es war nur unmittelbar, also der Echtzeitscanner der 2-3 mal angeschlagen hat...

cosinus 21.04.2013 23:01
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in CODE-Tags in den Thread.

HeAdAche 22.04.2013 09:07
Code:
OTL logfile created on: 22.04.2013 09:56:19 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Claudita\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 1,81 Gb Available Physical Memory | 63,22% Memory free
5,73 Gb Paging File | 4,48 Gb Available in Paging File | 78,26% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 176,65 Gb Free Space | 75,88% Space Free | Partition Type: NTFS
 
Computer Name: CLAUDITA-PC | User Name: Claudita | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Claudita\Desktop\OTL(1).exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_6_602_180.exe (Adobe Systems, Inc.)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Nero\Update\NASvc.exe (Nero AG)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (NIHardwareService) -- C:\Programme\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH)
SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (NAUpdate) -- C:\Programme\Nero\Update\NASvc.exe (Nero AG)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (hwdatacard) -- system32\DRIVERS\ewusbmdm.sys File not found
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)
DRV - (gbxavs) -- C:\Windows\System32\drivers\gbxavs.sys (Native Instruments GmbH)
DRV - (gbxusb_svc) -- C:\Windows\System32\drivers\gbxusb.sys (Native Instruments GmbH)
DRV - (gbxusb) -- C:\Windows\System32\drivers\gbxusb.sys (Native Instruments GmbH)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (IntcDAud) -- C:\Windows\System32\drivers\IntcDAud.sys (Intel(R) Corporation)
DRV - (Impcd) -- C:\Windows\System32\drivers\Impcd.sys (Intel Corporation)
DRV - (HECI) -- C:\Windows\System32\drivers\HECI.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C4 E6 7F DB E2 2A CE 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
FF - prefs.js..network.proxy.type: 4
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.3: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013.04.13 11:39:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.04.13 11:38:53 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013.04.13 11:39:00 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.04.13 11:38:53 | 000,000,000 | ---D | M]
 
[2012.09.01 12:01:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Claudita\AppData\Roaming\mozilla\Extensions
[2012.10.24 11:08:46 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Claudita\AppData\Roaming\mozilla\Firefox\Profiles\z2ip4d75.default\extensions
[2013.04.13 11:38:52 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.04.13 11:39:00 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.08.25 04:49:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.25 04:49:52 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.08.25 04:49:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.08.25 04:49:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.08.25 04:49:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.08.25 04:49:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D5104CB5-32CE-44C3-AF35-60B2C8B02870}: DhcpNameServer = 10.0.0.138
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{c73bf555-a415-11e2-b961-a4badbd9fc5c}\Shell - "" = AutoRun
O33 - MountPoints2\{c73bf555-a415-11e2-b961-a4badbd9fc5c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{c73bf56a-a415-11e2-b961-a4badbd9fc5c}\Shell - "" = AutoRun
O33 - MountPoints2\{c73bf56a-a415-11e2-b961-a4badbd9fc5c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.22 09:53:06 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Claudita\Desktop\OTL(1).exe
[2013.04.20 18:26:48 | 000,000,000 | ---D | C] -- C:\Users\Claudita\AppData\Roaming\Malwarebytes
[2013.04.20 18:26:29 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.04.20 18:26:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.04.20 18:26:26 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2013.04.20 18:26:26 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2013.04.20 18:26:00 | 000,000,000 | ---D | C] -- C:\Users\Claudita\AppData\Local\Programs
[2013.04.18 23:08:07 | 000,000,000 | ---D | C] -- C:\Users\Claudita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MAXQDA 11
[2013.04.13 11:38:52 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2013.04.13 10:48:35 | 000,000,000 | ---D | C] -- C:\Program Files\Mobile Partner
[2013.04.10 19:21:13 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.04.10 19:21:13 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.04.10 19:21:12 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.04.10 19:21:12 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.04.10 19:21:12 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.04.10 19:21:11 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.04.10 19:21:11 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.04.10 19:21:10 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.04.10 11:20:24 | 002,347,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.04.10 11:20:21 | 003,913,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2013.04.10 11:20:20 | 003,968,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2013.04.10 11:20:19 | 000,038,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2013.04.10 11:20:15 | 000,131,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\aaclient.dll
[2013.04.10 11:20:15 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tsgqec.dll
[2013.04.08 20:35:29 | 000,000,000 | ---D | C] -- C:\Users\Claudita\Documents\Dokumente
[2013.04.07 11:00:42 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2013.04.05 19:32:17 | 000,000,000 | R--D | C] -- C:\Program Files\Skype
[2013.04.05 19:32:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2013.04.02 18:55:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft
[2013.04.02 18:54:49 | 000,000,000 | ---D | C] -- C:\Users\Claudita\AppData\Roaming\DVDVideoSoft
[2013.04.02 18:54:49 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft
[2013.04.02 18:54:49 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\DVDVideoSoft
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.22 09:53:10 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Claudita\Desktop\OTL(1).exe
[2013.04.22 09:48:27 | 000,014,256 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.22 09:48:27 | 000,014,256 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.22 09:45:49 | 000,654,166 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.22 09:45:49 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.22 09:45:49 | 000,130,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.22 09:45:49 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.22 09:41:09 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.22 09:40:57 | 2307,928,064 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.21 23:12:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.04.20 18:26:29 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.04.16 21:23:15 | 000,000,600 | ---- | M] () -- C:\Users\Claudita\AppData\Local\PUTTY.RND
[2013.04.10 20:36:50 | 000,311,008 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.04.05 19:32:17 | 000,002,505 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
 
========== Files Created - No Company Name ==========
 
[2013.04.20 18:26:29 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.04.16 21:23:15 | 000,000,600 | ---- | C] () -- C:\Users\Claudita\AppData\Local\PUTTY.RND
[2012.09.03 12:47:13 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2012.09.01 03:53:35 | 000,654,166 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2012.09.01 03:53:35 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2012.09.01 03:53:35 | 000,130,006 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2012.09.01 03:53:35 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2012.08.31 20:04:17 | 000,140,288 | ---- | C] () -- C:\Windows\System32\igfxtvcx.dll
[2012.08.31 19:59:32 | 000,870,544 | ---- | C] () -- C:\Windows\System32\igkrng575.bin
[2012.08.31 19:59:32 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2012.08.31 19:59:32 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2012.08.31 19:59:31 | 000,050,036 | ---- | C] () -- C:\Windows\System32\igfcg575m.bin
[2012.08.31 19:59:31 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
[2012.08.31 19:59:30 | 000,127,896 | ---- | C] () -- C:\Windows\System32\igcompkrng575.bin
[2012.08.31 19:59:30 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
Code:
OTL Extras logfile created on: 22.04.2013 09:56:19 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Claudita\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 1,81 Gb Available Physical Memory | 63,22% Memory free
5,73 Gb Paging File | 4,48 Gb Available in Paging File | 78,26% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 176,65 Gb Free Space | 75,88% Space Free | Partition Type: NTFS
 
Computer Name: CLAUDITA-PC | User Name: Claudita | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{28D02FF9-D609-43F4-A0DE-4856A9152A0C}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{2DF03B5D-84E0-4641-A50A-9339A24F43C9}C:\users\claudita\appdata\roaming\spotify\spotify.exe" = protocol=6 | dir=in | app=c:\users\claudita\appdata\roaming\spotify\spotify.exe |
"TCP Query User{83BE3D9E-7FCA-4020-9651-BFDE06DC028A}C:\users\claudita\appdata\roaming\spotify\spotify.exe" = protocol=6 | dir=in | app=c:\users\claudita\appdata\roaming\spotify\spotify.exe |
"TCP Query User{8DE87F26-84CC-441B-98D9-B7EEFAEA7FA8}C:\users\claudita\desktop\fh st. pölten\fol - g. pantucek\masterthese_interkulturelles lernen und bilingualität in einem bilingualen kiga\f4\f4.exe" = protocol=6 | dir=in | app=c:\users\claudita\desktop\fh st. pölten\fol - g. pantucek\masterthese_interkulturelles lernen und bilingualität in einem bilingualen kiga\f4\f4.exe |
"UDP Query User{2A1169A2-3200-4374-B81F-D466EF55080C}C:\users\claudita\appdata\roaming\spotify\spotify.exe" = protocol=17 | dir=in | app=c:\users\claudita\appdata\roaming\spotify\spotify.exe |
"UDP Query User{512D46C2-61FE-457C-9B4F-40662FCE0534}C:\users\claudita\appdata\roaming\spotify\spotify.exe" = protocol=17 | dir=in | app=c:\users\claudita\appdata\roaming\spotify\spotify.exe |
"UDP Query User{7B825E96-7355-4D98-B0F6-B9F48E5B74FF}C:\users\claudita\desktop\fh st. pölten\fol - g. pantucek\masterthese_interkulturelles lernen und bilingualität in einem bilingualen kiga\f4\f4.exe" = protocol=17 | dir=in | app=c:\users\claudita\desktop\fh st. pölten\fol - g. pantucek\masterthese_interkulturelles lernen und bilingualität in einem bilingualen kiga\f4\f4.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01E9B2FF-DAF4-4529-9CC9-2101625517C7}" = nero.prerequisites.msi
"{034DCAF9-96E7-4936-9A07-712F80B5181E}" = Nero RescueAgent 11
"{0886900B-B2F3-452C-B580-60F1253F7F80}" = Native Instruments Controller Editor
"{0B5154C0-8F00-4616-B0AB-6240AE80D9CE}" = SimCity™ Societies
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{11D3EF85-63E1-4AE4-A7C1-9241BDB16B51}" = Nero ControlCenter 11
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{267B3E82-C941-47D8-BCD3-1BBBB56FCBC6}" = Native Instruments Maschine Controller
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.3
"{53F7746A-96AA-49A5-86B8-59989680DAC5}" = Nero Burning ROM 11 Help (CHM)
"{65BB0407-4CC8-4DC7-952E-3EEFDF05602A}" = Nero Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{B1846721-A8E6-46C7-83B6-0DCF7ADB4267}" = Nero Burning ROM 11
"{BEBEE34D-84A2-4EDD-8BEA-96CC54371263}" = Nero Core Components 11
"{C2F438B6-7010-453B-93EC-B2FC053AA97B}" = LibreOffice 3.6
"{D01CE99A-8802-483C-A79F-298B691EB432}" = Nero RescueAgent 11 Help (CHM)
"{D4D66270-9147-4BDF-9946-FCA2B303AA8F}" = Nero ControlCenter 11 Help (CHM)
"{E656D89A-8CBB-497F-918F-8361A4071C26}" = Nero Burning ROM 11
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FC6AFD44-EDF9-4A03-AB9E-16A5391FE24F}" = Native Instruments Maschine
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"f42012" = f4 2012
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.12.1.320
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"MAXQDA11" = MAXQDA 11 (Release 11.0.1)
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 20.0.1 (x86 de)" = Mozilla Firefox 20.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Native Instruments Controller Editor" = Native Instruments Controller Editor
"Native Instruments Maschine" = Native Instruments Maschine
"Native Instruments Maschine Controller" = Native Instruments Maschine Controller
"Native Instruments Maschine Controller Driver" = Native Instruments Maschine Controller Driver
"Native Instruments Service Center" = Native Instruments Service Center
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TVWiz" = Intel(R) TV Wizard
"VLC media player" = VLC media player 2.0.3
"WinRAR archiver" = WinRAR 4.20 (32-bit)
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 07.04.2013 07:28:10 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0xebc  Startzeit der fehlerhaften Anwendung: 0x01ce338251ee6645  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 39a9a019-9f76-11e2-9ba0-a4badbd9fc5c
 
Error - 07.04.2013 07:34:16 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0xd90  Startzeit der fehlerhaften Anwendung: 0x01ce3383066e3e8c  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 13cf9c15-9f77-11e2-9ba0-a4badbd9fc5c
 
Error - 07.04.2013 08:28:08 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0x8c0  Startzeit der fehlerhaften Anwendung: 0x01ce3383e3e8672b  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 9a3b1672-9f7e-11e2-9ba0-a4badbd9fc5c
 
Error - 07.04.2013 08:31:02 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0x9d8  Startzeit der fehlerhaften Anwendung: 0x01ce338b68247e27  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 01f1f232-9f7f-11e2-9ba0-a4badbd9fc5c
 
Error - 07.04.2013 13:19:39 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0x804  Startzeit der fehlerhaften Anwendung: 0x01ce338bcdcfab2b  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 53a80b54-9fa7-11e2-9ba0-a4badbd9fc5c
 
Error - 08.04.2013 13:46:08 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MAXQDA11.exe, Version: 11.0.0.30124,
 Zeitstempel: 0x5101136c  Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b15  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0004a1b8  ID des fehlerhaften
 Prozesses: 0xccc  Startzeit der fehlerhaften Anwendung: 0x01ce347dc1df8e7f  Pfad der
 fehlerhaften Anwendung: C:\Program Files\MAXQDA11\MAXQDA11.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\kernel32.dll  Berichtskennung: 312aa4ab-a074-11e2-8b92-a4badbd9fc5c
 
Error - 12.04.2013 06:46:39 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 19.0.2.4814,
 Zeitstempel: 0x5138a1d3  Name des fehlerhaften Moduls: xul.dll, Version: 19.0.2.4814,
 Zeitstempel: 0x5138a0ed  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00172818  ID des fehlerhaften
 Prozesses: 0x944  Startzeit der fehlerhaften Anwendung: 0x01ce3765ae7cfd3a  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe  Pfad des fehlerhaften
 Moduls: C:\Program Files\Mozilla Firefox\xul.dll  Berichtskennung: 4128781a-a35e-11e2-8703-a4badbd9fc5c
 
Error - 18.04.2013 21:01:02 | Computer Name = Claudita-PC | Source = RasClient | ID = 20227
Description =
 
Error - 20.04.2013 14:49:48 | Computer Name = Claudita-PC | Source = Application Hang | ID = 1002
Description = Programm SimCitySocieties.exe, Version 1.0.0.6 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 39c    Startzeit: 01ce3de80b793cac    Endzeit: 1057    Anwendungspfad:
 C:\Program Files\Electronic Arts\SimCity™ Societies\SimCitySocieties.exe    Berichts-ID:
 
 
Error - 20.04.2013 15:26:13 | Computer Name = Claudita-PC | Source = Application Error | ID = 1000
 
Error encountered while reading event logs.
 
< End of report >

cosinus 22.04.2013 11:51
Code:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D5104CB5-32CE-44C3-AF35-60B2C8B02870}: DhcpNameServer = 10.0.0.138

Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Warum hast du eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?

HeAdAche 22.04.2013 22:25
Es war bei meinem Laptop dabei...

cosinus 22.04.2013 22:47
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
Nutzt du das Gerät auch für ein Uni- oder gar Firmennetz?
Anders lässt sich das 10er-Subnetz in deinem Log kaum erklären

HeAdAche 23.04.2013 23:23
Ja ich nutze es auch für die Uni bzw. auch innerhalb der Uni, vielleicht deswegen.

Aber was hat das, mit meinem Virus zu tun?!

cosinus 23.04.2013 23:32
Es hat etwas mit unseren Regeln zu tun!
Denn bei gewerblichg genutzten Rechnern gibt es besondere Hinweise und ich kann keinem Hilfesuchenden vorher ansehen was er da immer genau hat! Ist eine reine Vorsichtsmaßnahme, weil wir nicht nach Jahren mit "löscht mal dieses und jenes komplett vom Board" genervt werden wollen, denn wir löschen erstmal grundsätzlich nichts

HeAdAche 27.04.2013 19:21
Ich verstehe diese Aussage nicht wirklich. Ich habe einen Laptop, welcher mein Eigentum ist da ich ihn mir erworben habe. Win7 war dabei, hab ich die DVD noch kann auch neu aufsetzen. Da ich aber eben in meiner Masterarbeit bin, will ich das eher vermeiden. Und der Fund den ich beschrieben habe, war vor kurzem und nicht vor Jahren. MfG

cosinus 28.04.2013 18:09
Ist das so schwer zu verstehen, dass wir bestimmte Regeln haben, an die wir uns zu halten haben?
Wir haben nunmal diese Regel, dass wir nur in Ausnahmefällen und eigentlich auch nur bei Kleinunternehmern eine Bereinigung machen, also muss ich auch danach fragen wenn ich den Verdacht habe, dass es sich um einen Büro-PC handelt.

Also bitte meine Fragen direkt beantworten. Wenn ich frage ob es ein Büro-PC ist, dann wollte ich nicht wirklich wissen, ob das Windows dabei war, sondern ich wollte eher eine klare Aussage lesen zB "nein, das ist kein Büro-PC, ist mein privater Rechner und Windows war schon so vorinstalliert und ich nutze es auch für die Uni"

Was für ein Notebook ist das eigentlich? Ich seh da keine herstellerspezifischen Programme und Utilities in den Logs, das ist rel. ungewöhnlich wenn Windows schon dabei und womöglich vorinstalliert war => Bitte um Klärung, danach bitte mit GMER und MBAR weitermachen:


Rootkitscan mit GMER

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55