Windows XP: erneuter Schädlingsbefall?

dhx · 13.12.2014, 17:40

Hi liebes Trojaner-Board Team,
ich glaube ich habe mir einen Trojaner eingefangen. Nur vorab, der PC ist von einem Flohmarkt und nicht neu aufgesetzt. Nun zur Sache

. Heute hatte sich Mbam immer geschlossen, als ich einen Scan machen wollte. Dann als ich SUPERAntiSpyware probierte, stürzte er immer ab. Seitdem stürzt er unberechenbar ab. Mir würde es sehr helfen wenn ihr meine Logs mal checkt. Danke an alle Helfer schon im voraus. Mfg dhx

Frst.txt

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-12-2014
Ran by PC13 (administrator) on JOSEPH-PC on 13-12-2014 16:33:29
Running from C:\Dokumente und Einstellungen\PC13\Desktop
Loaded Profile: PC13 (Available profiles: PC13 & Admin & XP & Administrator)
Platform: Microsoft Windows XP Service Pack 3 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 8
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\windows\System32\savedump.exe
(Oracle Corporation) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(Nullsoft, Inc.) C:\Programme\Winamp\winampa.exe
(SUPERAntiSpyware) C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
(Microsoft Corporation) C:\windows\System32\wuauclt.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [SystemTray] => C:\windows\system32\SysTray.Exe [3072 2002-08-29] (Microsoft Corporation)
HKLM\...\Run: [Synchronization Manager] => C:\windows\system32\mobsync.exe [144384 2008-04-14] (Microsoft Corporation)
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation)
HKLM\...\Run: [WinampAgent] => C:\Programme\Winamp\winampa.exe [85600 2013-12-13] (Nullsoft, Inc.)
HKU\S-1-5-19\...\Policies\system: [NoDispCPL] 0
HKU\S-1-5-19\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000
HKU\S-1-5-19\...\Policies\Explorer: [EditLevel] 0
HKU\S-1-5-19\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-19\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-20\...\Policies\system: [NoDispCPL] 0
HKU\S-1-5-20\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000
HKU\S-1-5-20\...\Policies\Explorer: [EditLevel] 0
HKU\S-1-5-20\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-20\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\Run: [SUPERAntiSpyware] => C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [6697752 2014-11-14] (SUPERAntiSpyware)
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\Policies\Explorer: [EditLevel] 0
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {108af002-b248-11da-b44d-00055d0b71d4} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {4c7979d0-3084-11df-87b8-00055d0b71d4} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {6fbe88ee-0284-11dc-846f-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {a31dfe4a-77af-11dc-84d3-00055d0b71d4} - F:\LaunchU3.exe -a
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {f320ae9e-b2f1-11da-b44e-00055d0b71d4} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-329068152-776561741-725345543-1003\...\MountPoints2: {fc99cfe8-87f2-11da-b402-00055d0b71d4} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-18\...\RunOnce: [Printing Migration] => rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters
HKU\S-1-5-18\...\Policies\system: [NoDispCPL] 0
HKU\S-1-5-18\...\Policies\Explorer: [EditLevel] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFileMenu] 0
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Programme\Microsoft Office Word\Office10\OSA.EXE (Microsoft Corporation)
ShellIconOverlayIdentifiers: [SlowFile Icon Overlay] -> {7D688A77-C613-11D0-999B-00C04FD655E1} => C:\WINDOWS\SYSTEM32\SHELL32.DLL (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-329068152-776561741-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.edu.ecdl.at/
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,ChannelsURL = hxxp://www.iechannelguide.com/guide/en/en_us.asp
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.lycos.de/search/msie40.html
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.edu.ecdl.at/
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,ChannelsURL = hxxp://www.iechannelguide.com/guide/en/en_us.asp
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.lycos.de/search/msie40.html
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.edu.ecdl.at/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,ChannelsURL = hxxp://www.iechannelguide.com/guide/en/en_us.asp
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.lycos.de/search/msie40.html
HKU\S-1-5-21-329068152-776561741-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
HKU\S-1-5-21-329068152-776561741-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
HKU\S-1-5-21-329068152-776561741-725345543-1003\Software\Microsoft\Internet Explorer\Main,ChannelsURL = hxxp://www.iechannelguide.com/guide/en/en_us.asp
HKU\S-1-5-21-329068152-776561741-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.lycos.de/search/msie40.html
SearchScopes: HKU\S-1-5-21-329068152-776561741-725345543-1003 -> DefaultScope {EAD72B2B-BA4B-43A0-BC87-4D04FCAC79D9} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-329068152-776561741-725345543-1003 -> {EAD72B2B-BA4B-43A0-BC87-4D04FCAC79D9} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre1.8.0_25\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre1.8.0_25\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKU\S-1-5-21-329068152-776561741-725345543-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab
DPF: {15B782AF-55D8-11D1-B477-006097098764} file://\\Boss\d\install\Authorware Web Player\webplayer\awswax.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1418454964250
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation)
ShellExecuteHooks: SABShellExecuteHook Class - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL [115440 2013-05-08] (SuperAdBlocker.com)
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 10.0.0.138

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\Mozilla\Firefox\Profiles\oymfnlnt.default
FF Homepage: hxxp://www.windowsxlive.net
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @java.com/DTPlugin,version=11.25.2 -> C:\Programme\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.25.2 -> C:\Programme\Java\jre1.8.0_25\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin HKU\S-1-5-21-329068152-776561741-725345543-1003: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF user.js: detected! => C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\Mozilla\Firefox\Profiles\oymfnlnt.default\user.js
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\NPSWF32.dll ()
FF SearchPlugin: C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\Mozilla\Firefox\Profiles\oymfnlnt.default\searchplugins\daemon-search.xml
FF Extension: DownloadHelper - C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\Mozilla\Firefox\Profiles\oymfnlnt.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2011-03-29]

Chrome: 
=======

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [114800 2014-11-27] (Mozilla Foundation)
S2 !SASCORE; "G:\SuperAS\SASCORE.EXE" [X]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R3 ac97intc; C:\windows\System32\drivers\ac97intc.sys [96256 2001-08-17] (Intel Corporation)
R3 ati2mtaa; C:\windows\System32\DRIVERS\ati2mtaa.sys [327168 2004-08-04] (ATI Technologies Inc.)
R3 FETNDIS; C:\windows\System32\DRIVERS\fetnd5.sys [27165 2001-08-17] (VIA Technologies, Inc.              )
R3 gameenum; C:\windows\System32\DRIVERS\gameenum.sys [10624 2008-04-14] (Microsoft Corporation)
S3 mbamchameleon; C:\windows\system32\drivers\mbamchameleon.sys [53208 2014-12-13] (Malwarebytes Corporation)
S3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [110296 2014-12-13] (Malwarebytes Corporation)
R2 NPF; C:\windows\System32\drivers\npf.sys [36600 2013-03-01] (Riverbed Technology, Inc.)
R3 rtl8139; C:\windows\System32\DRIVERS\RTL8139.SYS [20992 2008-04-13] (Realtek Semiconductor Corporation)
R1 SASDIFSV; C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS [12880 2011-07-23] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS [67664 2011-07-13] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S3 Amsmpu4p; \??\C:\DOKUME~1\PC13\LOKALE~1\Temp\Amsmpu4p.sys [X]
S3 dzsieos; \??\C:\WINDOWS\system32\018.tmp [X]
S3 iaxfzmik; \??\C:\WINDOWS\system32\08.tmp [X]
U5 ScsiPort; C:\windows\system32\drivers\scsiport.sys [96384 2008-04-14] (Microsoft Corporation)
S3 upwswtdl; \??\C:\WINDOWS\system32\04.tmp [X]
S3 vthhq; \??\C:\WINDOWS\system32\06.tmp [X]

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

NETSVC: kwxmm -> No Registry Path.
NETSVC: selojs -> No Registry Path.
NETSVC: kelglhy -> No Registry Path.
NETSVC: aujzph -> No Registry Path.
NETSVC: oywxvmnj -> No Registry Path.
NETSVC: lceiban -> No Registry Path.
NETSVC: xqesqsr -> No Registry Path.
NETSVC: kxoijke -> No Registry Path.
NETSVC: rejqpcfsq -> No Registry Path.
NETSVC: exmafu -> No Registry Path.
NETSVC: ueamv -> No Registry Path.
NETSVC: odmret -> No Registry Path.
NETSVC: jhcsllxmm -> No Registry Path.
NETSVC: gbthk -> No Registry Path.
NETSVC: rkmct -> No Registry Path.
NETSVC: tgyiamgh -> No Registry Path.
NETSVC: jxymieclz -> No Registry Path.

==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-12-13 16:33 - 2014-12-13 16:33 - 00014745 _____ () C:\Dokumente und Einstellungen\PC13\Desktop\FRST.txt
2014-12-13 16:33 - 2014-12-13 16:33 - 00000000 ____D () C:\FRST
2014-12-13 16:31 - 2014-12-13 16:02 - 00090112 _____ () C:\windows\Minidump\Mini121314-06.dmp
2014-12-13 16:23 - 2014-12-13 16:23 - 01111552 _____ (Farbar) C:\Dokumente und Einstellungen\PC13\Desktop\FRST.exe
2014-12-13 16:16 - 2012-06-02 15:19 - 00015896 _____ (Microsoft Corporation) C:\windows\system32\wuapi.dll.mui
2014-12-13 16:08 - 2014-12-13 16:08 - 00000000 ____D () C:\SUPERDelete
2014-12-13 16:06 - 2014-12-13 16:06 - 00001546 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
2014-12-13 16:06 - 2014-12-13 16:06 - 00000000 ____D () C:\Programme\SUPERAntiSpyware
2014-12-13 16:02 - 2014-12-13 15:26 - 00090112 _____ () C:\windows\Minidump\Mini121314-05.dmp
2014-12-13 15:27 - 2014-12-13 14:27 - 00090112 _____ () C:\windows\Minidump\Mini121314-04.dmp
2014-12-13 14:27 - 2014-12-13 13:50 - 00090112 _____ () C:\windows\Minidump\Mini121314-03.dmp
2014-12-13 13:50 - 2014-12-13 13:50 - 00000000 __SHD () C:\FOUND.005
2014-12-13 13:13 - 2014-12-13 13:04 - 00090112 _____ () C:\windows\Minidump\Mini121314-02.dmp
2014-12-13 13:12 - 2014-12-13 13:12 - 00000000 ____D () C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\.minecraft
2014-12-13 13:11 - 2014-12-13 13:11 - 00000000 ____D () C:\windows\Profiles\All Users\Anwendungsdaten\Sun
2014-12-13 13:11 - 2014-12-13 13:11 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Java
2014-12-13 13:11 - 2014-12-13 13:11 - 00000000 ____D () C:\Dokumente und Einstellungen\PC13\Anwendungsdaten\Oracle
2014-12-13 13:10 - 2014-12-13 13:10 - 00146432 _____ (Oracle Corporation) C:\windows\system32\javacpl.cpl
2014-12-13 13:10 - 2014-12-13 13:10 - 00096680 _____ (Oracle Corporation) C:\windows\system32\WindowsAccessBridge.dll
2014-12-13 13:10 - 2014-12-13 13:10 - 00000000 ____D () C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Anwendungsdaten\Sun
2014-12-13 13:10 - 2014-12-13 13:10 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java
2014-12-13 13:09 - 2014-12-13 13:09 - 00000000 ____D () C:\windows\Profiles\All Users\Anwendungsdaten\Oracle
2014-12-13 13:09 - 2014-12-13 13:09 - 00000000 ____D () C:\Programme\Java
2014-12-13 13:08 - 2014-12-13 13:08 - 00000606 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
2014-12-13 13:08 - 2014-12-13 13:08 - 00000600 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
2014-12-13 13:08 - 2014-12-13 13:08 - 00000000 ____D () C:\windows\Profiles\All Users\Anwendungsdaten\Mozilla
2014-12-13 13:08 - 2014-12-13 13:08 - 00000000 ____D () C:\Programme\Mozilla Maintenance Service
2014-12-13 13:00 - 2014-12-13 09:43 - 00090112 _____ () C:\windows\Minidump\Mini121314-01.dmp
2014-12-10 15:55 - 2014-12-13 09:49 - 00002499 _____ () C:\Dokumente und Einstellungen\PC13\Desktop\PowerLine Utility.lnk
2014-12-10 15:55 - 2014-12-10 15:55 - 00000064 _____ () C:\windows\system32\-1
2014-12-10 15:55 - 2014-12-10 15:55 - 00000000 ____D () C:\Programme\WinPcap
2014-12-10 15:55 - 2014-12-10 15:55 - 00000000 ____D () C:\Programme\TP-LINK
2014-12-10 15:55 - 2014-12-10 15:55 - 00000000 ____D () C:\Dokumente und Einstellungen\PC13\Startmenü\Programme\TP-LINK
2014-12-10 15:55 - 2014-12-10 15:55 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinPcap
2014-12-08 14:27 - 2008-04-13 22:05 - 00020992 _____ (Realtek Semiconductor Corporation) C:\windows\system32\Drivers\RTL8139.sys
2014-12-08 14:27 - 2008-04-13 22:05 - 00020992 _____ (Realtek Semiconductor Corporation) C:\windows\system32\dllcache\rtl8139.sys
2014-12-08 14:16 - 2014-12-08 14:17 - 00001566 _____ () C:\Dokumente und Einstellungen\PC13\Desktop\Herr der Ringe Die Gefährten.lnk
2014-12-08 14:12 - 2014-12-08 14:12 - 00000000 ____D () C:\Programme\Surreal
2014-12-08 08:54 - 2014-12-08 08:54 - 00000000 ____D () C:\Programme\Microsoft Office Word
2014-12-08 08:50 - 2014-12-08 08:50 - 00001561 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Works-Start.lnk
2014-12-08 08:50 - 2014-12-08 08:50 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Works
2014-12-08 08:44 - 2014-12-08 08:18 - 00090112 _____ () C:\windows\Minidump\Mini120814-01.dmp
2014-12-08 08:25 - 2014-12-08 08:25 - 00000768 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DTC ECDL-Edition 2.0.lnk
2014-12-08 08:25 - 2014-12-08 08:25 - 00000000 ____D () C:\Programme\DTC
2014-12-08 08:21 - 2014-12-08 08:21 - 00000000 __RSH () C:\MSDOS.SYS
2014-12-08 08:21 - 2014-12-08 08:21 - 00000000 __RSH () C:\IO.SYS

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-12-13 16:16 - 2014-10-08 17:46 - 00074269 _____ () C:\windows\setupapi.log
2014-12-13 16:16 - 2004-01-21 18:17 - 00001411 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Windows Update.lnk
2014-12-13 15:30 - 2014-10-20 14:57 - 00110296 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\MBAMSwissArmy.sys
2014-12-13 15:29 - 2014-10-14 18:33 - 00053208 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mbamchameleon.sys
2014-12-13 14:05 - 2012-01-12 12:17 - 00330272 _____ () C:\windows\WindowsUpdate.log
2014-12-13 13:46 - 2004-01-21 18:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\PC13\ntuser.ini
2014-12-13 09:45 - 2014-10-08 18:15 - 00000354 _____ () C:\windows\wiadebug.log
2014-12-13 09:43 - 2004-01-21 17:43 - 00002206 _____ () C:\windows\system32\wpa.dbl
2014-12-08 15:49 - 2014-10-08 18:15 - 00000050 _____ () C:\windows\wiaservc.log
2014-12-08 15:46 - 2004-04-21 08:49 - 00066264 _____ () C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2014-12-08 14:26 - 2004-01-21 18:04 - 00291680 _____ () C:\windows\system32\FNTCACHE.DAT
2014-12-08 14:11 - 2004-04-21 07:52 - 00316640 _____ () C:\windows\WMSysPr9.prx
2014-12-08 08:55 - 2004-11-03 17:29 - 00002050 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Word.lnk
2014-12-08 08:55 - 2004-11-03 17:29 - 00002012 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Office-Dokument öffnen.lnk
2014-12-08 08:55 - 2004-11-03 17:29 - 00002008 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Neues Office-Dokument.lnk
2014-12-08 08:55 - 2004-01-21 18:18 - 00000947 _____ () C:\windows\ODBC.INI

Files to move or delete:
====================
C:\Dokumente und Einstellungen\PC13\jagex_runescape_preferences.dat
C:\Dokumente und Einstellungen\PC13\jagex_runescape_preferences2.dat
C:\Dokumente und Einstellungen\PC13\jagex__preferences3.dat


Some content of TEMP:
====================
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\AutoRun.exe
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\sfextra.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\AutoRunGUI.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\SIntf16.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\SIntf32.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\sfamcc00001.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\SIntfNT.dll
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\eauninstall.exe
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\Fussball Manager 2005_uninst.exe
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\iv_uninstall.exe
C:\Dokumente und Einstellungen\PC13\Lokale Einstellungen\Temp\CmdLineExt02.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\windows\explorer.exe => File is digitally signed
C:\windows\system32\winlogon.exe => File is digitally signed
C:\windows\system32\svchost.exe => File is digitally signed
C:\windows\system32\services.exe => File is digitally signed
C:\windows\system32\User32.dll => File is digitally signed
C:\windows\system32\userinit.exe => File is digitally signed
C:\windows\system32\rpcss.dll => File is digitally signed
C:\windows\system32\Drivers\volsnap.sys => File is digitally signed

==================== End Of Log ============================

--- --- ---

Addition.txt

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 13-12-2014
Ran by PC13 at 2014-12-13 16:34:22
Running from C:\Dokumente und Einstellungen\PC13\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)


==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

3D Arctic Bear Advanced v2.07 (HKLM\...\3D Arctic Bear Advanced_is1) (Version:  - )
7-Zip 9.20 (HKLM\...\7-Zip) (Version:  - )
Autodesk Express Viewer (HKLM\...\Autodesk Express Viewer) (Version: 3.1 - Autodesk, Inc.)
CPUID CPU-Z 1.71 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
DER HERR DER RINGE: DIE GEFÄHRTEN (HKLM\...\InstallShield_{49C98C60-BAC3-4C92-AF4F-E890FD312D60}) (Version: 1.01.0453 - Ihr Firmenname)
DER HERR DER RINGE: DIE GEFÄHRTEN (Version: 1.01.0453 - Ihr Firmenname) Hidden
DTC ECDL-Edition 2.0 (HKLM\...\DTCECDLEDITION20) (Version:  - )
Hotfix für Windows XP (KB952287) (HKLM\...\KB952287) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB976098-v2) (HKLM\...\KB976098-v2) (Version: 2 - Microsoft Corporation)
Java 8 Update 25 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218025F0}) (Version: 8.0.250 - Oracle Corporation)
Macromedia Flash Player 8 (HKLM\...\ShockwaveFlash) (Version: 8 - Macromedia)
Malwarebytes Anti-Malware Version 2.0.2.1012 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.2.1012 - Malwarebytes Corporation)
Microsoft .NET Framework 2.0 (HKLM\...\Microsoft .NET Framework 2.0) (Version:  - Microsoft Corporation)
Microsoft Office 2000 SR-1 Premium (HKLM\...\{00000407-78E1-11D2-B60F-006097C998E7}) (Version: 9.00.3821 - Microsoft Corporation)
Microsoft Office XP Media Content (HKLM\...\{90300407-6000-11D3-8CFE-0050048383C9}) (Version: 10.0.2619.0 - Microsoft Corporation)
Microsoft Office XP Professional mit FrontPage (HKLM\...\{90280407-6000-11D3-8CFE-0050048383C9}) (Version: 10.0.6626.0 - Microsoft Corporation)
Microsoft PhotoDraw 2000 V2 (HKLM\...\{3C5EA394-1031-11D2-A2CB-00C04F72F31D}) (Version: 2.00.00.1429 - Microsoft Corporation)
Microsoft Publisher 98 (HKLM\...\MSPUB5) (Version:  - )
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Word 2002 (HKLM\...\{911B0407-6000-11D3-8CFE-0050048383C9}) (Version: 10.0.2701.01 - Microsoft Corporation)
Microsoft Works 2003-Setup-Start (HKLM\...\Works2003Setup) (Version:  - )
Microsoft Works 7.0  (HKLM\...\{EDDDC607-91D9-4758-9F57-265FDCD8A772}) (Version: 07.02.0702 - Microsoft Corporation)
Mozilla Firefox 34.0.5 (x86 de) (HKLM\...\Mozilla Firefox 34.0.5 (x86 de)) (Version: 34.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 34.0.5 - Mozilla)
PowerLine Utility (HKLM\...\{1A5E91E0-20BD-423B-ABD4-7683A30D3C2F}) (Version: 2.0.1431 - TP-LINK)
PowerQuest PartitionMagic 7.0 (HKLM\...\{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}) (Version:  - )
Sicherheitsupdate für Windows Media Player (KB952069) (HKLM\...\KB952069_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB954155) (HKLM\...\KB954155_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB968816) (HKLM\...\KB968816_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB973540) (HKLM\...\KB973540_WM9L) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB923561) (HKLM\...\KB923561) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB946648) (HKLM\...\KB946648) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950762) (HKLM\...\KB950762) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950974) (HKLM\...\KB950974) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951066) (HKLM\...\KB951066) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951376-v2) (HKLM\...\KB951376-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951748) (HKLM\...\KB951748) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952004) (HKLM\...\KB952004) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952954) (HKLM\...\KB952954) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB955069) (HKLM\...\KB955069) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956572) (HKLM\...\KB956572) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956802) (HKLM\...\KB956802) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956803) (HKLM\...\KB956803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB957097) (HKLM\...\KB957097) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958644) (HKLM\...\KB958644) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958687) (HKLM\...\KB958687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958869) (HKLM\...\KB958869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB959426) (HKLM\...\KB959426) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960225) (HKLM\...\KB960225) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960803) (HKLM\...\KB960803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960859) (HKLM\...\KB960859) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB961371-v2) (HKLM\...\KB961371-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB961501) (HKLM\...\KB961501) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB969059) (HKLM\...\KB969059) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB969947) (HKLM\...\KB969947) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB970238) (HKLM\...\KB970238) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971486) (HKLM\...\KB971486) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971557) (HKLM\...\KB971557) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971633) (HKLM\...\KB971633) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971657) (HKLM\...\KB971657) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973354) (HKLM\...\KB973354) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973507) (HKLM\...\KB973507) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973525) (HKLM\...\KB973525) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973869) (HKLM\...\KB973869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974112) (HKLM\...\KB974112) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974455) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows XP (KB974571) (HKLM\...\KB974571) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975025) (HKLM\...\KB975025) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975467) (HKLM\...\KB975467) (Version: 1 - Microsoft Corporation)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 6.0.1164 - SUPERAntiSpyware.com)
Tetris Unlimited 0.5.0 (HKLM\...\{93B12A27-25B5-4A0C-9601-CDF7FE495E12}_is1) (Version: 0.5.0 - Oscar Giner)
Update für Windows XP (KB967715) (HKLM\...\KB967715) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB968389) (HKLM\...\KB968389) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973687) (HKLM\...\KB973687) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973815) (HKLM\...\KB973815) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB976749) (Version: 1 - Microsoft Corporation) Hidden
WebFldrs XP (Version: 9.50.6513 - Microsoft Corporation) Hidden
Winamp (HKLM\...\Winamp) (Version: 5.666  - Nullsoft, Inc)
Windows Internet Explorer 8 (HKLM\...\ie8) (Version: 20090308.140743 - Microsoft Corporation)
Windows XP Service Pack 3 (HKLM\...\Windows XP Service Pack) (Version: 20080414.031514 - Microsoft Corporation)
WinPcap 4.1.3 (HKLM\...\WinPcapInst) (Version: 4.1.0.2980 - Riverbed Technology, Inc.)
Works Suite-Betriebssystem-Pack (Version: 3.0.0.0000 - Microsoft Corporation) Hidden
You and Me 1 CD-ROM (HKLM\...\{4FA11894-E6EB-45BE-80D8-975D4DDD50B8}) (Version: 1.10.0000 - Langenscheidt-Longman)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)


==================== Restore Points  =========================

Could not list Restore Points. Check "winmgmt" service or repair WMI.


==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2004-01-21 17:41 - 2006-02-08 19:25 - 00000874 ____N C:\windows\system32\Drivers\etc\hosts
127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost


==================== Scheduled Tasks (whitelisted) =============


(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)

Task: C:\windows\Tasks\Erinnerung für den Deinstallationsablauf.job => C:\WINDOWS\System32\OOBE\oobebaln.exe
Task: C:\windows\Tasks\WGASetup.job => C:\WINDOWS\system32\KB905474\wgasetup.exe

==================== Loaded Modules (whitelisted) =============


==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\01917586.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\uxpatch => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\01917586.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\UploadMgr => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\uxpatch => ""="Service"

==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\startupreg: GhostStartTrayApp => C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Programme\Java\jre6\bin\jusched.exe"

========================= Accounts: ==========================

Admin (S-1-5-21-329068152-776561741-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\Admin
Administrator (S-1-5-21-329068152-776561741-725345543-500 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\Administrator
Gast (S-1-5-21-329068152-776561741-725345543-501 - Limited - Enabled)
Hilfeassistent (S-1-5-21-329068152-776561741-725345543-1000 - Limited - Disabled)
PC13 (S-1-5-21-329068152-776561741-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\PC13
XP (S-1-5-21-329068152-776561741-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\XP

==================== Faulty Device Manager Devices =============

Could not list Devices. Check "winmgmt" service or repair WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (12/13/2014 04:32:29 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.

Error: (12/13/2014 04:07:48 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (12/13/2014 04:07:48 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (12/13/2014 04:02:42 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.

Error: (12/13/2014 03:27:21 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.

Error: (12/13/2014 02:28:01 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.

Error: (12/13/2014 02:00:42 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (12/13/2014 02:00:42 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (12/13/2014 01:51:52 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.

Error: (12/13/2014 01:43:06 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein.


System errors:
=============
Error: (03/25/2009 02:33:05 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error: (03/17/2009 01:39:55 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "AntiVir PersonalEdition Classic Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (03/16/2009 09:38:37 AM) (Source: DCOM) (EventID: 10005) (User: JOSEPH-PC)
Description: Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "wuauserv" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{E60687F7-01A1-40AA-86AC-DB1CBF673334}

Error: (02/23/2009 00:57:55 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu..


Microsoft Office Sessions:
=========================
Error: (12/13/2014 04:32:29 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 

Error: (12/13/2014 04:07:48 PM) (Source: crypt32) (EventID: 11) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (12/13/2014 04:07:48 PM) (Source: crypt32) (EventID: 11) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (12/13/2014 04:02:42 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 

Error: (12/13/2014 03:27:21 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 

Error: (12/13/2014 02:28:01 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 

Error: (12/13/2014 02:00:42 PM) (Source: crypt32) (EventID: 11) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (12/13/2014 02:00:42 PM) (Source: crypt32) (EventID: 11) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (12/13/2014 01:51:52 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 

Error: (12/13/2014 01:43:06 PM) (Source: WinMgmt) (EventID: 28) (User: )
Description: 


==================== Memory info =========================== 

Processor:  Intel(R) Pentium(R) 4 CPU 2.66GHz
Percentage of memory in use: 26%
Total physical RAM: 1023.53 MB
Available physical RAM: 755.87 MB
Total Pagefile: 1313.88 MB
Available Pagefile: 1158.68 MB
Total Virtual: 2047.88 MB
Available Virtual: 1939.1 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:11.78 GB) (Free:1.63 GB) FAT32
Drive d: () (Fixed) (Total:26.36 GB) (Free:24.66 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 38.2 GB) (Disk ID: FC53FC53)
Partition 1: (Active) - (Size=11.8 GB) - (Type=0C)
Partition 2: (Not Active) - (Size=26.4 GB) - (Type=OF Extended)

==================== End Of Log ============================

Defogger.log

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:38 on 13/12/2014 (PC13)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Gmer.log

Code:

ATTFilter

GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-12-13 16:48:28
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_4D040H2 rev.DAH017K0 38,17GB
Running: Gmer-19357.exe; Driver: C:\DOKUME~1\PC13\LOKALE~1\Temp\uwlyqpow.sys


---- System - GMER 2.1 ----

SSDT  \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS  ZwTerminateProcess [0xF3F50640]

---- Disk sectors - GMER 2.1 ----

Disk  \Device\Harddisk0\DR0                           unknown MBR code

---- EOF - GMER 2.1 ----

Edit: Wenig Speicherplatz vorhanden!

schrauber · 13.12.2014, 17:58

Zitat:

Nur vorab, der PC ist von einem Flohmarkt und nicht neu aufgesetzt. Nun zur Sache

Schlechter Scherz oder? Willste nicht einen von mir kaufen? Ich bau vorher nen Banking Trojaner ein der mir all deine Passwörter und Transaktionen schickt.

Formatieren. Neuaufsetzen, und was anständiges, kein XP mehr.

dhx · 14.12.2014, 06:23

Zitat:

Zitat von schrauber

Schlechter Scherz oder? Willste nicht einen von mir kaufen? Ich bau vorher nen Banking Trojaner ein der mir all deine Passwörter und Transaktionen schickt.

Formatieren. Neuaufsetzen, und was anständiges, kein XP mehr.

Was außer XP? 98

? Das warn Schul-PC, da wir kein Banking-Trojaner drauf sein, höchstens Conficker. Und die haben 10 davon verkauft

. Kannst du mir nicht wenigstens sagen ob ein Virus oben ist? Mfg dhx

OK, schon neuaufgesetzt. Mfg dhx

schrauber · 14.12.2014, 18:12

Zitat:

Kannst du mir nicht wenigstens sagen ob ein Virus oben ist?

Nö, ohne ne Woche zu scannen nicht, und dann ist es bei der Ausgangslage auch nur geraten.

Zitat:

OK, schon neuaufgesetzt

Gute Entscheidung. Ausser es ist wieder XP, dann darf der Rechner nicht mehr online.

Windows XP: erneuter Schädlingsbefall?

Plagegeister aller Art und deren Bekämpfung: Windows XP: erneuter Schädlingsbefall?