Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vermutlich Deutsche Post Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.12.2012, 23:46   #1
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Hallo,

ich habe ein Problem mit dem PC meines Dads. Er hat erzählt dass er auf diese "Deutsche Post" Geschichte reingefallen ist, und er irgendwas in einer e-Mail angeklickt hat. Das hat erstmal den "Windows XP Defender" installiert.

Ich habe schon diverse Dinge ausprobiert und dachte es wäre schon überstanden - aber nicht wirklich.

Erst konnte man keine EXE Dateien mehr ausführen - das konnte ich wieder fixen, habe RKILL ausgeführt und hatte auch schon den Malwarebytes Anti Malware installiert. Dieser hatte diverse Probleme gefunden und in Quarantaine geschoben, die ich auch schon gelöscht habe. Der XP Defender ist wohl gelöscht.

Das Problem das aktuell besteht, ist dass der Avira nichts erkennt, aber in diversen abständen gefühlte 100 Internet Explorer aufpoppen mit irgendwelchen Adressen.
Wenn der Malwarebyte Anti Malware läuft geht es und es wird immer wieder mal angezeigt dass versucht wurde auf 82.146.57.123 zu zugreifen.

Ich bin immer davon ausgegangen, das wenn der Rechner mal befallen wurde es eigentlich keine Hilfe gibt, da die Dinger sich so tief ins System eingraben dass man keine Chance hat. Dann bin ich auf dieses Board gestoßen und bin gespannt ob ich um eine Neuinstallation herumkomme.

Ach ja - anzumerken wäre noch dass ich nicht vor Ort bin. Das heißt ich muss immer mit Teamviewer auf die Kiste zugreifen, was ide Sache wohl etwas erschwert...

Hier nun die Ausgaben:

OTL.txt
Code:
ATTFilter
OTL logfile created on: 26.12.2012 23:27:15 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,23 Mb Total Physical Memory | 576,75 Mb Available Physical Memory | 64,42% Memory free
2,12 Gb Paging File | 1,89 Gb Available in Paging File | 89,28% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 41,75 Gb Free Space | 56,02% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.12.26 16:28:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\OTL.exe
PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () -- C:\Programme\Synology Data Replicator  3\SynoDrService.exe
PRC - [2012.08.31 15:02:03 | 007,553,448 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer.exe
PRC - [2012.08.31 15:02:03 | 002,754,984 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2012.08.31 15:02:03 | 002,282,920 | ---- | M] (TeamViewer GmbH) -- c:\Programme\TeamViewer\Version7\TeamViewer_Desktop.exe
PRC - [2012.08.31 14:55:18 | 000,106,408 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\tv_w32.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.03.02 14:05:56 | 000,081,920 | ---- | M] (FirebirdSQL Project) -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe
PRC - [2007.03.02 14:05:50 | 001,994,752 | ---- | M] (FirebirdSQL Project) -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () -- C:\Programme\Synology Data Replicator  3\SynoDrService.exe
MOD - [2008.04.14 07:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2006.08.16 08:35:00 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [Auto | Stopped] -- C:\Programme\DynDNS Updater\DynUpSvc.exe -- (Dyn Updater)
SRV - [2012.12.10 18:25:23 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.09.07 11:59:07 | 000,248,704 | ---- | M] () [Auto | Running] -- C:\Programme\Synology Data Replicator  3\SynoDrService.exe -- (SynoDrService)
SRV - [2012.08.31 15:02:03 | 002,754,984 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2007.05.07 18:28:58 | 000,589,824 | ---- | M] (TightVNC Group) [On_Demand | Stopped] -- C:\Programme\TightVNC\WinVNC.exe -- (winvnc)
SRV - [2007.03.02 14:05:56 | 000,081,920 | ---- | M] (FirebirdSQL Project) [Auto | Running] -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance)
SRV - [2007.03.02 14:05:50 | 001,994,752 | ---- | M] (FirebirdSQL Project) [On_Demand | Running] -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe -- (FirebirdServerDefaultInstance)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\Andreas\LOKALE~1\Temp\aswMBR.sys -- (aswMBR)
DRV - [2012.09.29 19:54:26 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2006.07.11 14:38:30 | 000,020,480 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.07.11 14:38:28 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.06.28 10:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)
DRV - [2006.06.18 22:38:18 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2006.06.08 09:49:50 | 000,344,064 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73)
DRV - [2006.06.06 05:09:26 | 004,284,928 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService)
DRV - [2004.08.03 15:55:28 | 000,237,568 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZD1211U.sys -- (ZD1211U(ZyXEL)
DRV - [2002.09.09 18:54:06 | 000,016,269 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ASNDIS5.sys -- (ASNDIS5)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://google.de/"
FF - prefs.js..extensions.enabledAddons: jqs%40sun.com:1.0
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.10 18:25:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.10 18:25:13 | 000,000,000 | ---D | M]
 
[2009.04.19 20:31:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions
[2012.10.24 07:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions
[2012.10.14 03:55:54 | 000,000,000 | ---D | M] (German Dictionary, extended for Austria) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions\de-AT@dictionaries.addons.mozilla.org
[2012.12.10 18:25:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009.10.29 18:04:57 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012.12.10 18:25:24 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.06.19 11:45:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.08 19:33:52 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.19 11:45:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.19 11:45:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.19 11:45:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.19 11:45:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.23 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe (TightVNC Group)
O4 - HKU\S-1-5-21-789336058-1563985344-839522115-1003..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1 File not found
O4 - HKU\S-1-5-21-789336058-1563985344-839522115-1003..\Run: [Vufomye] "C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Onno\ulob.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O12 - Plugin for: .spop - C:\Programme\Internet Explorer\PLUGINS\NPDocBox.dll (Intertrust Technologies, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1356101537906 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1563EE9D-A932-4D23-B725-48BF7F7ADE5E}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.25 09:58:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.25 11:31:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.12.25 11:31:49 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.12.25 11:31:49 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.12.25 10:18:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore
[2012.12.25 09:55:21 | 000,000,000 | ---D | C] -- C:\efbf2bb7be216e32abb1c374e7dd5fab
[2012.12.25 09:38:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx
[2012.12.25 09:28:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
[2012.12.25 06:45:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2012.12.24 15:33:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.12.24 12:15:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012.12.24 12:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla
[2012.12.24 07:20:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2012.12.24 02:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de
[2012.12.24 02:36:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2012.12.24 02:36:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2012.12.24 02:36:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2012.12.24 02:22:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic
[2012.12.24 02:15:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2012.12.24 00:19:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dyn Updater
[2012.12.24 00:19:09 | 000,000,000 | ---D | C] -- C:\Programme\DynDNS Updater
[2012.12.24 00:18:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn
[2012.12.23 20:58:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes
[2012.12.23 20:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.12.23 20:49:41 | 010,669,896 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\herbert.exe
[2012.12.23 20:49:41 | 001,754,528 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\abc.exe
[2012.12.23 20:49:00 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2012.12.22 15:56:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XP Defender
[2012.12.22 15:46:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities
[2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu
[2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina
[2012.12.22 10:45:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles
[2012.12.22 10:41:40 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox
[2012.12.21 15:51:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Andreas\UserData
[2012.12.12 17:51:33 | 371,250,488 | ---- | C] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe
[2012.12.10 18:25:11 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.26 23:24:32 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable
[2012.12.26 09:00:00 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\SyncBack Eigene Dateien.job
[2012.12.25 20:27:28 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.12.25 15:34:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.12.25 09:32:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.12.25 09:19:16 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.12.25 09:19:16 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.12.25 09:19:16 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.12.25 09:19:16 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.12.24 07:27:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012.12.24 07:20:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.12.24 02:22:02 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2012.12.24 00:19:17 | 000,000,525 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk
[2012.12.23 20:56:27 | 000,000,335 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg
[2012.12.22 16:09:17 | 000,046,075 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl
[2012.12.22 16:02:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs
[2012.12.22 10:42:12 | 000,001,087 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk
[2012.12.16 18:39:10 | 000,004,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot  2013.htm
[2012.12.16 18:30:51 | 000,103,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm
[2012.12.14 16:04:18 | 000,000,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Fahrerbescheinigung.lnk
[2012.12.12 17:51:32 | 371,250,488 | ---- | M] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe
[2012.12.04 08:16:54 | 000,013,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.12.26 23:24:32 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable
[2012.12.24 07:27:10 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Outlook Express.lnk
[2012.12.24 07:27:08 | 000,000,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Internet Explorer.lnk
[2012.12.24 02:37:25 | 000,010,457 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.hta
[2012.12.24 02:37:25 | 000,001,771 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.css
[2012.12.24 02:37:25 | 000,001,730 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpocm.inf
[2012.12.24 02:37:25 | 000,000,420 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmploc.js
[2012.12.24 02:37:24 | 000,660,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.chm
[2012.12.24 02:37:24 | 000,076,456 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.adm
[2012.12.24 02:37:24 | 000,026,141 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplay.chm
[2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud7.wav
[2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud6.wav
[2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud9.wav
[2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud8.wav
[2012.12.24 02:37:23 | 000,086,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud5.wav
[2012.12.24 02:37:22 | 000,354,468 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud1.wav
[2012.12.24 02:37:22 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud3.wav
[2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud4.wav
[2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud2.wav
[2012.12.24 02:37:22 | 000,058,216 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmp.inf
[2012.12.24 02:37:21 | 000,013,540 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmfsdk.inf
[2012.12.24 02:37:20 | 000,034,554 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmdm.inf
[2012.12.24 02:37:20 | 000,008,677 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm7.gif
[2012.12.24 02:37:20 | 000,007,892 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm9.gif
[2012.12.24 02:37:20 | 000,004,193 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm8.gif
[2012.12.24 02:37:19 | 000,300,969 | ---- | C] () -- C:\WINDOWS\System32\dllcache\viz.wmv
[2012.12.24 02:37:19 | 000,017,489 | ---- | C] () -- C:\WINDOWS\System32\dllcache\videobg.gif
[2012.12.24 02:37:19 | 000,007,636 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm2.gif
[2012.12.24 02:37:19 | 000,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm4.gif
[2012.12.24 02:37:19 | 000,006,241 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm3.gif
[2012.12.24 02:37:19 | 000,006,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm6.gif
[2012.12.24 02:37:19 | 000,005,789 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm1.gif
[2012.12.24 02:37:19 | 000,005,290 | ---- | C] () -- C:\WINDOWS\System32\dllcache\vidsamp.gif
[2012.12.24 02:37:19 | 000,002,477 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm5.gif
[2012.12.24 02:37:18 | 000,023,829 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tourbg.gif
[2012.12.24 02:37:18 | 000,003,187 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tour.js
[2012.12.24 02:37:18 | 000,002,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplay.gif
[2012.12.24 02:37:18 | 000,002,450 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpause.gif
[2012.12.24 02:37:18 | 000,002,375 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplayh.gif
[2012.12.24 02:37:18 | 000,002,371 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpauseh.gif
[2012.12.24 02:37:18 | 000,001,398 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taon.gif
[2012.12.24 02:37:18 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taonh.gif
[2012.12.24 02:37:17 | 000,572,557 | ---- | C] () -- C:\WINDOWS\System32\dllcache\rtuner.wmv
[2012.12.24 02:37:17 | 000,001,810 | ---- | C] () -- C:\WINDOWS\System32\dllcache\skins.inf
[2012.12.24 02:37:17 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoff.gif
[2012.12.24 02:37:17 | 000,001,367 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoffh.gif
[2012.12.24 02:37:17 | 000,001,148 | ---- | C] () -- C:\WINDOWS\System32\dllcache\snd.htm
[2012.12.24 02:37:16 | 000,084,531 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plyr_err.chm
[2012.12.24 02:37:16 | 000,066,132 | ---- | C] () -- C:\WINDOWS\System32\dllcache\revert.wmz
[2012.12.24 02:37:16 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst5.wpl
[2012.12.24 02:37:16 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst6.wpl
[2012.12.24 02:37:16 | 000,001,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst3.wpl
[2012.12.24 02:37:16 | 000,001,467 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst4.wpl
[2012.12.24 02:37:16 | 000,001,047 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst7.wpl
[2012.12.24 02:37:16 | 000,001,038 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst8.wpl
[2012.12.24 02:37:16 | 000,000,782 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst9.wpl
[2012.12.24 02:37:15 | 000,375,519 | ---- | C] () -- C:\WINDOWS\System32\dllcache\nuskin.wmv
[2012.12.24 02:37:15 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst12.wpl
[2012.12.24 02:37:15 | 000,001,261 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst1.wpl
[2012.12.24 02:37:15 | 000,001,055 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst2.wpl
[2012.12.24 02:37:15 | 000,000,807 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst11.wpl
[2012.12.24 02:37:15 | 000,000,800 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst10.wpl
[2012.12.24 02:37:15 | 000,000,779 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylsta13.wpl
[2012.12.24 02:37:15 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst14.wpl
[2012.12.24 02:37:15 | 000,000,725 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst15.wpl
[2012.12.24 02:37:14 | 000,022,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npds.zip
[2012.12.24 02:37:14 | 000,000,403 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npdrmv2.zip
[2012.12.24 02:37:12 | 000,036,610 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplayer2.inf
[2012.12.24 02:37:12 | 000,002,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogoh.gif
[2012.12.24 02:37:12 | 000,002,545 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogo.gif
[2012.12.24 02:37:10 | 000,457,607 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mdlib.wmv
[2012.12.24 02:37:10 | 000,005,971 | ---- | C] () -- C:\WINDOWS\System32\dllcache\events.js
[2012.12.24 02:37:09 | 000,381,425 | ---- | C] () -- C:\WINDOWS\System32\dllcache\copycd.wmv
[2012.12.24 02:37:09 | 000,009,585 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.css
[2012.12.24 02:37:09 | 000,006,878 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.js
[2012.12.24 02:37:08 | 000,184,109 | ---- | C] () -- C:\WINDOWS\System32\dllcache\compact.wmz
[2012.12.24 02:37:08 | 000,008,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\contents.htm
[2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnth.gif
[2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnt.gif
[2012.12.24 02:37:08 | 000,000,772 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cntd.gif
[2012.12.24 02:37:08 | 000,000,760 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapph.gif
[2012.12.24 02:37:08 | 000,000,717 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapp.gif
[2012.12.24 02:37:07 | 000,000,999 | ---- | C] () -- C:\WINDOWS\System32\dllcache\bktrh.gif
[2012.12.24 02:22:45 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod
[2012.12.24 02:22:43 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty
[2012.12.24 02:22:39 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img
[2012.12.24 00:19:17 | 000,000,525 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk
[2012.12.23 20:56:26 | 000,000,335 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg
[2012.12.22 16:09:17 | 000,046,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl
[2012.12.22 16:02:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs
[2012.12.16 18:39:10 | 000,004,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot  2013.htm
[2012.12.16 18:30:51 | 000,103,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm
[2012.12.04 08:16:54 | 000,013,371 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm
[2011.10.17 09:34:08 | 000,000,103 | ---- | C] () -- C:\WINDOWS\Setup_tmp.ini
[2011.05.31 14:26:15 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\THBIni20.dll
[2011.05.31 14:26:10 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\MC4MInt.dll
 
========== ZeroAccess Check ==========
 
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2008.06.17 20:00:59 | 008,502,272 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:06:44 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.12.24 00:18:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn
[2011.07.13 21:19:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DynDNS
[2007.05.25 15:16:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2011.10.17 09:34:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm LOGS
[2010.05.06 09:06:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Empfang\Anwendungsdaten\FRITZ!
[2012.12.25 20:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox
[2012.12.22 15:46:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina
[2011.05.31 22:55:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FRITZ!
[2011.01.28 11:04:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\InterTrust
[2009.10.29 18:08:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\OpenOffice.org
[2012.12.26 09:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu
[2012.09.22 21:18:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\TeamViewer
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Andreas\Desktop\Liste Deutschland Zimmerbelegung d 34 Personen f d Fahrt nach Gertianosch vom 02.09.2010.docx:SummaryInformation

< End of report >
         

Extra.txt
Code:
ATTFilter
OTL Extras logfile created on: 26.12.2012 16:31:18 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,23 Mb Total Physical Memory | 164,55 Mb Available Physical Memory | 18,38% Memory free
2,12 Gb Paging File | 1,53 Gb Available in Paging File | 72,34% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 41,88 Gb Free Space | 56,20% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 a
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\ART\Office\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00180407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 Runtime
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{8E310838-457C-4269-B177-3EFB300CBDDC}" = Synology Data Replicator  3
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{AE617000-0F7E-42BC-B992-720285B89707}" = DiaScan ® digi+
"{DE2DA32A-F8C7-4E8E-B41D-E5031185CE3F}" = IPView Pro
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Areca" = Areca
"AU Plus 1.0" = AU Plus 1.0
"AU Plus mit Importmodul" = AU Plus mit Importmodul
"DynUpdater" = Dyn Updater
"FBDBServer_2_0_is1" = Firebird 2.0.1
"FRITZ! 2.0" = AVM FRITZ!
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"schaden Plus" = schaden Plus
"schaden Plus_is1" = schaden Plus (novaPDF Server OEM 6.2  printer)
"SyncBack_is1" = SyncBack
"TeamViewer 7" = TeamViewer 7
"TightVNC_is1" = TightVNC 1.3.9
"TravelManager" = TravelManager
"UBCD4Win_is1" = UBCD4Win 3.60
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 23.12.2012 13:49:39 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:49:40 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00aa9858.
 
Error - 23.12.2012 13:50:49 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:50:52 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:51:03 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:51:22 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 14:06:56 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 25.12.2012 04:23:14 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wgasetup.exe, Version 1.9.40.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 25.12.2012 08:51:05 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.12.2012 11:30:44 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.69.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 25.12.2012 04:39:13 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 25.12.2012 04:39:13 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.12.2012 05:19:54 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 25.12.2012 05:21:23 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 25.12.2012 05:21:23 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.12.2012 10:34:13 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
 
< End of report >
         
Es ist ein 32 Bit System, aber ich konnte GMER nicht runterladen - da mich Firefox immer wieder zu google umgeleitet hat... Sehr seltsam...

Habe ich Chancen?

Viele Grüße,
Cronet

Alt 27.12.2012, 12:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Hallo und

Code:
ATTFilter
Windows XP Professional Edition Service Pack 3
         
Warum bitte eine Professional Edition für Windows? Wer braucht das als Heimanwender?
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?


Zitat:
und hatte auch schon den Malwarebytes Anti Malware installiert. Dieser hatte diverse Probleme gefunden und in Quarantaine geschoben, die ich auch schon gelöscht habe. Der XP Defender ist wohl gelöscht.
Schön und wo sind die Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520


Bitte alles nach Möglichkeit hier in CODE-Tags posten.
Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 27.12.2012, 13:40   #3
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Hallo,

ja, mein Dad ist Selbständig und der Rechner steht in seinem Büro. Der Rechner wurde gebraucht gekauft und da war das Betriebssystem dabei.
Ist das ein Problem, dass es kein Privat-PC ist?



1. Log vom mbam:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.23.07

Windows XP Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 6.0.2900.2180
Andreas :: COMPUTER1 [Administrator]

Schutz: Deaktiviert

23.12.2012 21:01:57
mbam-log-2012-12-23 (21-01-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 363275
Laufzeit: 35 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pcdfdata (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xpcoipml (Backdoor.Bot.EMWD) -> Daten: "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\kajhlxks.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\DIASCAN50\VIP.EXE (PUP.Radmin) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|pcdfsvc (Rogue.PCDefenderPlus) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\crcxxste.exe /min -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\kajhlxks.exe (Backdoor.Bot.EMWD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DiaScan50\ViP.exe (PUP.Radmin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\defs.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\app.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\config.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\support.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\uninst.ico (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcdfdata\vl.bin (Rogue.PCDefenderPlus) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
2. Log:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.25.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [Administrator]

Schutz: Deaktiviert

25.12.2012 13:51:45
mbam-log-2012-12-25 (13-51-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 407593
Laufzeit: 1 Stunde(n), 21 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 4
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Avenger\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Avenger\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Das letzte Log :
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.25.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [Administrator]

Schutz: Aktiviert

26.12.2012 00:32:51
mbam-log-2012-12-26 (00-32-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 410567
Laufzeit: 1 Stunde(n), 27 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Und noch ein Auszug aus dem protection-log :
Code:
ATTFilter
2012/12/26 00:00:01 +0100	COMPUTER1	Andreas	IP-BLOCK	82.146.57.123 (Type: outgoing)
...hunderte davon!.....
2012/12/26 23:21:55 +0100	COMPUTER1	Andreas	IP-BLOCK	82.146.57.123 (Type: outgoing)
2012/12/26 23:21:58 +0100	COMPUTER1	Andreas	IP-BLOCK	82.146.57.123 (Type: outgoing)
2012/12/26 23:22:04 +0100	COMPUTER1	Andreas	IP-BLOCK	82.146.57.123 (Type: outgoing)
2012/12/26 23:26:43 +0100	COMPUTER1	Andreas	MESSAGE	Stopping protection
2012/12/26 23:26:43 +0100	COMPUTER1	Andreas	MESSAGE	Protection stopped successfully
2012/12/26 23:26:43 +0100	COMPUTER1	Andreas	MESSAGE	Stopping IP protection
2012/12/26 23:26:44 +0100	COMPUTER1	Andreas	MESSAGE	IP Protection stopped successfully
2012/12/26 23:26:49 +0100	COMPUTER1	Andreas	MESSAGE	Protection stopped
         

Ein Scan mit aswMBR hat keine Infizierungen gezeigt.

Also wenn es ein Problem ist, dass es ein Büro Rechner ist, dann bitte das Thema schließen - ansonsten freue ich mich natürlich über Hilfe!
__________________

Alt 27.12.2012, 14:00   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Zitat:
Ist das ein Problem, dass es kein Privat-PC ist?
Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.12.2012, 14:06   #5
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Danke für die Info - das wir mir nicht klar.

Eine IT Abteilung gibt es (leider) nicht, denn dann müsste ich mich auch nicht damit beschäftigen.

Über die Logfiles bin ich mir im Klaren. Ich werde die Logs vorher durchsehen und evtl. Kundendaten o.ä. verschleiern.

Wenn Du mir helfen würdest wäre das super!


Alt 27.12.2012, 14:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Ok, wenn du dir darüber im Klaren bist dann ist das auch überhaupt kein Problem.
Ich weise da nur recht penetrant drauf hin, weil ich hier mit Oberschlaumeiern schonmal konfrontiert wurde, die hatten tw. schon mit dem Anwalt gedroht von wegen das TB wird verklagt wenn die selbst veröffentliche eigene E-Mail-Adresse usw. nicht entfernt wird

Und diesen völlige unnötige Aufregerei will ich eben im Vorfeld ausschließen. verständlich oder?


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
--> Vermutlich Deutsche Post Trojaner

Alt 27.12.2012, 22:52   #7
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Das ist total verständlich! Danke dass du mir hilfst!

Habe das Anti Rootkit nun 3 mal laufen lassen, beim dritten mal kamen keine Meldungen mehr:

1. Log:
Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.27.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]

27.12.2012 21:59:29
mbar-log-2012-12-27 (21-59-29).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25563
Time elapsed: 17 minute(s), 14 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 (Trojan.0Access) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data:  -> Delete on reboot.

Registry Data Items Detected: 3
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (shell32.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.

Folders Detected: 6
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089 (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 7
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-789336058-1563985344-839522115-1003\$b97718ff1bf0cfc1a507dc23f597a089\n (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\80000000.@ (Trojan.0Access) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$b97718ff1bf0cfc1a507dc23f597a089\U\800000cb.@ (Trojan.0Access) -> Delete on reboot.

(end)
         

2. Log:

Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.27.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]

27.12.2012 22:19:27
mbar-log-2012-12-27 (22-19-27).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25527
Time elapsed: 15 minute(s), 29 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         
3. Log:
Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.27.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [administrator]

27.12.2012 22:40:06
mbar-log-2012-12-27 (22-40-06).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25518
Time elapsed: 15 minute(s), 8 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         


Und nun ?

Alt 28.12.2012, 12:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2012, 12:57   #9
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Nachdem er die Wiederherstellungskonsole installiert hat ging erstmal nichts mehr weiter. Ich habe dann ComboFix.exe einfach nochmal gestartet, dann hat er gleich mit dem Sacnvorgang begonnen.


Code:
ATTFilter
ComboFix 12-12-28.01 - Andreas 28.12.2012  12:34:30.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.895.554 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\Downloads\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Andreas\WINDOWS
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-28  ))))))))))))))))))))))))))))))
.
.
2012-12-27 21:24 . 2012-12-27 21:24	35144	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2012-12-27 01:34 . 2012-12-27 01:34	--------	d-s---w-	c:\dokumente und einstellungen\LocalService\UserData
2012-12-25 10:31 . 2012-12-25 10:31	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-12-25 10:31 . 2012-09-29 18:54	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-12-25 09:18 . 2012-12-25 09:18	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-12-25 08:55 . 2012-12-25 08:55	--------	d-----w-	C:\efbf2bb7be216e32abb1c374e7dd5fab
2012-12-25 08:38 . 2012-12-25 08:38	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx
2012-12-25 08:07 . 2012-12-25 08:13	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2012-12-24 14:33 . 2012-12-24 14:33	--------	d-----w-	c:\windows\system32\NtmsData
2012-12-24 11:15 . 2012-12-24 11:15	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-12-24 11:15 . 2012-12-24 11:15	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-12-24 11:09 . 2012-12-24 11:09	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2012-12-24 01:37 . 2009-07-31 09:02	1372672	-c----w-	c:\windows\system32\dllcache\msxml6.dll
2012-12-24 01:37 . 2009-07-31 09:02	1372672	------w-	c:\windows\system32\msxml6.dll
2012-12-24 01:37 . 2008-04-14 06:27	93184	-c----w-	c:\windows\system32\dllcache\msxml6r.dll
2012-12-24 01:37 . 2008-04-14 06:27	93184	------w-	c:\windows\system32\msxml6r.dll
2012-12-24 01:27 . 2008-04-14 06:52	294912	------w-	c:\programme\Windows Media Player\dlimport.exe
2012-12-24 01:26 . 2008-04-14 06:52	294912	-c----w-	c:\windows\system32\dllcache\dlimport.exe
2012-12-24 01:21 . 2006-12-28 23:31	19569	----a-w-	c:\windows\002909_.tmp
2012-12-23 23:19 . 2012-12-23 23:19	--------	d-----w-	c:\programme\DynDNS Updater
2012-12-23 23:18 . 2012-12-23 23:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Dyn
2012-12-23 19:58 . 2012-12-23 19:58	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2012-12-23 19:58 . 2012-12-23 19:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-22 14:46 . 2012-12-22 14:46	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities
2012-12-22 14:46 . 2012-12-27 20:16	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Ovlu
2012-12-22 14:46 . 2012-12-22 14:46	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Ekgina
2012-12-22 09:45 . 2012-12-24 01:27	--------	d-----w-	c:\windows\ServicePackFiles
2012-12-22 09:41 . 2012-12-22 09:41	--------	d-----w-	c:\programme\Dropbox
2012-12-21 15:27 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2012-12-21 15:27 . 2008-06-14 17:32	273024	------w-	c:\windows\system32\drivers\bthport.sys
2012-12-21 15:26 . 2009-12-31 16:50	353792	-c----w-	c:\windows\system32\dllcache\srv.sys
2012-12-21 15:25 . 2010-02-24 13:11	455680	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2012-12-21 15:25 . 2009-11-21 15:54	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2012-12-21 15:24 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2012-12-21 15:24 . 2009-10-15 16:28	81920	-c----w-	c:\windows\system32\dllcache\fontsub.dll
2012-12-21 15:24 . 2009-10-15 16:28	119808	-c----w-	c:\windows\system32\dllcache\t2embed.dll
2012-12-21 15:24 . 2009-02-06 10:10	227840	-c----w-	c:\windows\system32\dllcache\wmiprvse.exe
2012-12-21 15:24 . 2010-02-17 13:04	2192256	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2012-12-21 15:24 . 2009-03-06 14:19	286720	-c----w-	c:\windows\system32\dllcache\pdh.dll
2012-12-21 15:23 . 2009-06-25 08:25	737792	-c----w-	c:\windows\system32\dllcache\lsasrv.dll
2012-12-21 15:23 . 2009-02-09 11:21	111104	-c----w-	c:\windows\system32\dllcache\services.exe
2012-12-21 15:23 . 2009-02-09 10:51	401408	-c----w-	c:\windows\system32\dllcache\rpcss.dll
2012-12-21 15:23 . 2009-02-09 10:51	678400	-c----w-	c:\windows\system32\dllcache\advapi32.dll
2012-12-21 15:23 . 2009-02-09 10:51	473600	-c----w-	c:\windows\system32\dllcache\fastprox.dll
2012-12-21 15:23 . 2009-02-09 10:51	740352	-c----w-	c:\windows\system32\dllcache\ntdll.dll
2012-12-21 15:23 . 2009-02-09 10:51	453120	-c----w-	c:\windows\system32\dllcache\wmiprvsd.dll
2012-12-21 15:23 . 2010-02-16 19:04	2148864	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2012-12-21 15:23 . 2010-02-16 19:04	2027008	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2012-12-21 15:17 . 2008-05-08 14:02	203136	-c----w-	c:\windows\system32\dllcache\rmcast.sys
2012-12-21 15:16 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2012-12-21 15:13 . 2008-10-15 16:35	337408	-c----w-	c:\windows\system32\dllcache\netapi32.dll
2012-12-21 15:12 . 2008-04-21 21:13	217600	-c----w-	c:\windows\system32\dllcache\wordpad.exe
2012-12-21 14:52 . 2012-12-21 14:52	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-21 14:51 . 2012-12-21 14:52	--------	d-s---w-	c:\dokumente und einstellungen\Andreas\UserData
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-21 14:52 . 2011-09-02 13:03	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-10 17:25 . 2012-12-10 17:25	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"nwiz"="nwiz.exe" [2006-08-16 1617920]
"NvMediaCenter"="NvMCTray.dll" [2006-08-16 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384]
"SfWinStartInfo"="c:\sfirm32\sfWinStartupInfo.exe" [2010-12-20 128392]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Z1"="c:\dokumente und einstellungen\Andreas\Desktop\mbar\mbar.exe" [2012-12-27 1342312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Andreas\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-12-22 28538560]
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Dyn Updater Tray Icon.lnk - c:\programme\DynDNS Updater\DynTray.exe [N/A]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2007-5-25 241664]
.
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [25.12.2012 11:31 399432]
R2 SynoDrService;SynoDrService;c:\programme\Synology Data Replicator  3\SynoDrService.exe [07.09.2012 11:59 248704]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [22.09.2012 21:18 2754984]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.05.2007 10:49 37568]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.05.2007 10:49 444416]
R3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [27.12.2012 22:24 35144]
S2 Dyn Updater;Dyn Updater;c:\programme\DynDNS Updater\DynUpSvc.exe --> c:\programme\DynDNS Updater\DynUpSvc.exe [?]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [25.12.2012 11:31 676936]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [25.12.2012 11:31 22856]
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\drivers\ZD1211U.sys [25.05.2007 10:34 237568]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMCHAMELEON
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-28 c:\windows\Tasks\SyncBack Eigene Dateien.job
- c:\programme\SyncBack\SyncBack.exe [2007-05-25 13:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Vufomye - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Onno\ulob.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-28 12:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-28  12:47:55
ComboFix-quarantined-files.txt  2012-12-28 11:47
.
Vor Suchlauf: 15 Verzeichnis(se), 44.496.502.784 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 48.519.139.328 Bytes frei
.
- - End Of File - - E417C8FD743C7FFC3C6C5DC2EBF31BB4
         

Alt 28.12.2012, 13:43   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2012, 13:51   #11
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Wenn es dir nicht zu viel Aufwand ist, wäre es super wenn du mir immer kurz sagst, was dir die geposteten LogFiles sagen. Also welche Zeile jetzt für dich ausschlaggebend ist, um ein bestimmtes Tool vorzuschlagen. Das würde mich nämlich interessieren!

Code:
ATTFilter
# AdwCleaner v2.103 - Datei am 28/12/2012 um 13:49:21 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Andreas - COMPUTER1
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DE2DA32A-F8C7-4E8E-B41DE5031185CE3F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3B18191663CDFABAA2A93D4267E54D683153FF60

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [833 octets] - [28/12/2012 13:49:21]

########## EOF - C:\AdwCleaner[R1].txt - [892 octets] ##########
         

Alt 28.12.2012, 14:07   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in CODE-Tags hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2012, 14:49   #13
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



adwCleaner
Code:
ATTFilter
# AdwCleaner v2.103 - Datei am 28/12/2012 um 14:26:02 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Andreas - COMPUTER1
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DE2DA32A-F8C7-4E8E-B41DE5031185CE3F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3B18191663CDFABAA2A93D4267E54D683153FF60

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [960 octets] - [28/12/2012 13:49:21]
AdwCleaner[R2].txt - [892 octets] - [28/12/2012 14:26:02]

########## EOF - C:\AdwCleaner[R2].txt - [951 octets] ##########
         
OTL
Code:
ATTFilter
OTL logfile created on: 28.12.2012 14:27:36 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,23 Mb Total Physical Memory | 509,00 Mb Available Physical Memory | 56,86% Memory free
2,12 Gb Paging File | 1,90 Gb Available in Paging File | 89,59% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 45,21 Gb Free Space | 60,67% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Programme\Synology Data Replicator  3\SynoDrService.exe ()
PRC - c:\Programme\TeamViewer\Version7\TeamViewer.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - c:\Programme\TeamViewer\Version7\TeamViewer_Desktop.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version7\tv_w32.exe (TeamViewer GmbH)
PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project)
PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Synology Data Replicator  3\SynoDrService.exe ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\WINDOWS\system32\nvapi.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (Dyn Updater) -- C:\Programme\DynDNS Updater\DynUpSvc.exe File not found
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (SynoDrService) -- C:\Programme\Synology Data Replicator  3\SynoDrService.exe ()
SRV - (TeamViewer7) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (winvnc) -- C:\Programme\TightVNC\WinVNC.exe (TightVNC Group)
SRV - (FirebirdGuardianDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project)
SRV - (FirebirdServerDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (ZDPNDIS5) -- C:\WINDOWS\system32\ZDPNDIS5.SYS File not found
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (mbr) -- C:\ComboFix\mbr.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys File not found
DRV - (mbamchameleon) -- C:\WINDOWS\system32\drivers\mbamchameleon.sys ()
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (RT73) -- C:\WINDOWS\system32\drivers\rt73.sys (Ralink Technology, Corp.)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (ZD1211U(ZyXEL) -- C:\WINDOWS\system32\drivers\ZD1211U.sys (ZyDAS Technology Corporation)
DRV - (ASNDIS5) -- C:\WINDOWS\system32\ASNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://google.de/"
FF - prefs.js..extensions.enabledAddons: jqs%40sun.com:1.0
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.10 18:25:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.10 18:25:13 | 000,000,000 | ---D | M]
 
[2009.04.19 20:31:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions
[2012.10.24 07:09:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions
[2012.10.14 03:55:54 | 000,000,000 | ---D | M] (German Dictionary, extended for Austria) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\tur210g4.default\extensions\de-AT@dictionaries.addons.mozilla.org
[2012.12.10 18:25:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009.10.29 18:04:57 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012.12.10 18:25:24 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.06.19 11:45:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.08 19:33:52 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.19 11:45:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.19 11:45:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.19 11:45:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.19 11:45:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.12.28 12:46:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe (TightVNC Group)
O4 - HKLM..\RunOnce: [Z1] C:\Dokumente und Einstellungen\Andreas\Desktop\mbar\mbar.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O12 - Plugin for: .spop - C:\Programme\Internet Explorer\PLUGINS\NPDocBox.dll (Intertrust Technologies, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1356101537906 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1563EE9D-A932-4D23-B725-48BF7F7ADE5E}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{47F6F73A-499D-4AFC-ACC7-0B225BE18B0A}: NameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.25 09:58:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.28 12:29:25 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2012.12.28 12:21:08 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012.12.28 12:21:08 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012.12.28 12:21:08 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012.12.28 12:21:08 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012.12.28 12:21:01 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.12.28 12:20:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Verwaltung
[2012.12.28 12:20:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Videos
[2012.12.28 12:20:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2012.12.27 21:39:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Desktop\mbar
[2012.12.25 11:31:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.12.25 11:31:49 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.12.25 11:31:49 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.12.25 10:18:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore
[2012.12.25 09:55:21 | 000,000,000 | ---D | C] -- C:\efbf2bb7be216e32abb1c374e7dd5fab
[2012.12.25 09:38:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx
[2012.12.25 09:28:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
[2012.12.25 06:45:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2012.12.24 15:33:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.12.24 12:15:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012.12.24 12:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla
[2012.12.24 07:20:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2012.12.24 02:37:33 | 001,372,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msxml6.dll
[2012.12.24 02:37:33 | 000,093,184 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml6r.dll
[2012.12.24 02:37:33 | 000,093,184 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msxml6r.dll
[2012.12.24 02:37:17 | 000,086,016 | ---- | C] (Sipro Lab Telecom Inc.) -- C:\WINDOWS\System32\dllcache\sl_anet.acm
[2012.12.24 02:37:13 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msaud32.acm
[2012.12.24 02:37:10 | 000,290,816 | ---- | C] (Fraunhofer Institut Integrierte Schaltungen IIS) -- C:\WINDOWS\System32\dllcache\l3codeca.acm
[2012.12.24 02:36:55 | 000,102,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dpcdll.dll
[2012.12.24 02:36:53 | 000,046,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\irbus.sys
[2012.12.24 02:36:53 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\comsdupd.exe
[2012.12.24 02:36:52 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\smtpapi.dll
[2012.12.24 02:36:52 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\rwnh.dll
[2012.12.24 02:36:42 | 000,377,984 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvaa.dll
[2012.12.24 02:36:42 | 000,229,376 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2cqag.dll
[2012.12.24 02:36:42 | 000,201,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvag.dll
[2012.12.24 02:36:42 | 000,136,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\aaclient.dll
[2012.12.24 02:36:41 | 001,888,992 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3duag.dll
[2012.12.24 02:36:41 | 000,870,784 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3d1ag.dll
[2012.12.24 02:36:41 | 000,516,768 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ativvaxx.dll
[2012.12.24 02:36:41 | 000,032,768 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativtmxx.dll
[2012.12.24 02:36:41 | 000,023,040 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativmvxx.ax
[2012.12.24 02:36:41 | 000,009,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativdaxx.ax
[2012.12.24 02:36:40 | 000,233,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\azroles.dll
[2012.12.24 02:36:40 | 000,007,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\bitsprx4.dll
[2012.12.24 02:36:38 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3cfg.dll
[2012.12.24 02:36:38 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dhcpqec.dll
[2012.12.24 02:36:38 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dimsroam.dll
[2012.12.24 02:36:37 | 000,651,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3ui.dll
[2012.12.24 02:36:37 | 000,056,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3msm.dll
[2012.12.24 02:36:37 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dot3gpclnt.dll
[2012.12.24 02:36:36 | 000,184,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapp3hst.dll
[2012.12.24 02:36:36 | 000,182,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapphost.dll
[2012.12.24 02:36:36 | 000,095,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eappgnui.dll
[2012.12.24 02:36:36 | 000,059,392 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\eapqec.dll
[2012.12.24 02:36:34 | 000,032,285 | ---- | C] (Conexant Systems, Inc.) -- C:\WINDOWS\System32\hsfcisp2.dll
[2012.12.24 02:36:31 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdiultn.dll
[2012.12.24 02:36:31 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdbhc.dll
[2012.12.24 02:36:30 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdpash.dll
[2012.12.24 02:36:30 | 000,006,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kbdnepr.dll
[2012.12.24 02:36:29 | 000,037,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\l2gpstore.dll
[2012.12.24 02:36:28 | 000,397,312 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcex.dll
[2012.12.24 02:36:28 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\microsoft.managementconsole.dll
[2012.12.24 02:36:28 | 000,106,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcfxcommon.dll
[2012.12.24 02:36:28 | 000,086,016 | ---- | C] (Conexant) -- C:\WINDOWS\System32\mdmxsdk.dll
[2012.12.24 02:36:28 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mmcperf.exe
[2012.12.24 02:36:27 | 000,155,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mssha.dll
[2012.12.24 02:36:26 | 001,737,856 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\mtxparhd.dll
[2012.12.24 02:36:26 | 000,198,656 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napmontr.dll
[2012.12.24 02:36:26 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napstat.exe
[2012.12.24 02:36:26 | 000,081,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msshavmsg.dll
[2012.12.24 02:36:26 | 000,030,208 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\napipsec.dll
[2012.12.24 02:36:24 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll
[2012.12.24 02:36:23 | 000,151,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\qagent.dll
[2012.12.24 02:36:23 | 000,062,464 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\qcliprov.dll
[2012.12.24 02:36:22 | 000,397,056 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\s3gnb.dll
[2012.12.24 02:36:22 | 000,290,304 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\rhttpaa.dll
[2012.12.24 02:36:21 | 000,286,792 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slextspk.dll
[2012.12.24 02:36:21 | 000,188,508 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slgen.dll
[2012.12.24 02:36:21 | 000,073,832 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slcoinst.dll
[2012.12.24 02:36:21 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slrundll.exe
[2012.12.24 02:36:21 | 000,032,768 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\setupn.exe
[2012.12.24 02:36:20 | 000,073,796 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slserv.exe
[2012.12.24 02:36:18 | 000,053,248 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\tsgqec.dll
[2012.12.24 02:36:18 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\vidcap.ax
[2012.12.24 02:36:17 | 000,346,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\windowscodecsext.dll
[2012.12.24 02:36:16 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmphoto.dll
[2012.12.24 02:36:16 | 000,069,120 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wlanapi.dll
[2012.12.24 02:36:14 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\slrundll.exe
[2012.12.24 02:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de
[2012.12.24 02:36:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2012.12.24 02:36:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2012.12.24 02:36:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2012.12.24 02:26:56 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dlimport.exe
[2012.12.24 02:22:51 | 000,004,255 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv01nt5.dll
[2012.12.24 02:22:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic
[2012.12.24 02:22:50 | 000,003,967 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv02nt5.dll
[2012.12.24 02:22:50 | 000,003,775 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv11nt5.dll
[2012.12.24 02:22:50 | 000,003,711 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv09nt5.dll
[2012.12.24 02:22:50 | 000,003,647 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv07nt5.dll
[2012.12.24 02:22:50 | 000,003,615 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv05nt5.dll
[2012.12.24 02:22:50 | 000,003,135 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv08nt5.dll
[2012.12.24 02:22:49 | 000,056,623 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1btxx.sys
[2012.12.24 02:22:49 | 000,011,615 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1mdxx.sys
[2012.12.24 02:22:48 | 000,063,663 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1rvxx.sys
[2012.12.24 02:22:48 | 000,036,463 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1tuxx.sys
[2012.12.24 02:22:48 | 000,030,671 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1raxx.sys
[2012.12.24 02:22:48 | 000,026,367 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1snxx.sys
[2012.12.24 02:22:48 | 000,021,343 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1ttxx.sys
[2012.12.24 02:22:48 | 000,012,047 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1pdxx.sys
[2012.12.24 02:22:47 | 000,701,952 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtag.sys
[2012.12.24 02:22:47 | 000,327,168 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtaa.sys
[2012.12.24 02:22:47 | 000,057,856 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinbtxx.sys
[2012.12.24 02:22:47 | 000,034,735 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xsxx.sys
[2012.12.24 02:22:47 | 000,029,455 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xbxx.sys
[2012.12.24 02:22:46 | 000,104,960 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinrvxx.sys
[2012.12.24 02:22:46 | 000,052,224 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinraxx.sys
[2012.12.24 02:22:46 | 000,028,672 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinsnxx.sys
[2012.12.24 02:22:46 | 000,014,336 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinpdxx.sys
[2012.12.24 02:22:46 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinmdxx.sys
[2012.12.24 02:22:45 | 000,073,216 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atintuxx.sys
[2012.12.24 02:22:45 | 000,063,488 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxsxx.sys
[2012.12.24 02:22:45 | 000,031,744 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxbxx.sys
[2012.12.24 02:22:45 | 000,021,183 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv01nt5.dll
[2012.12.24 02:22:45 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinttxx.sys
[2012.12.24 02:22:44 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv04nt5.dll
[2012.12.24 02:22:44 | 000,017,279 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv10nt5.dll
[2012.12.24 02:22:44 | 000,014,143 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv06nt5.dll
[2012.12.24 02:22:44 | 000,011,359 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv02nt5.dll
[2012.12.24 02:22:43 | 000,036,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\bthprint.sys
[2012.12.24 02:22:43 | 000,015,423 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\ch7xxnt5.dll
[2012.12.24 02:22:40 | 001,309,184 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlstrm.sys
[2012.12.24 02:22:40 | 000,126,686 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlmnt5.sys
[2012.12.24 02:22:39 | 000,452,736 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\drivers\mtxparhm.sys
[2012.12.24 02:22:39 | 000,180,360 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\ntmtlfax.sys
[2012.12.24 02:22:39 | 000,013,776 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\recagent.sys
[2012.12.24 02:22:39 | 000,012,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\mutohpen.sys
[2012.12.24 02:22:38 | 000,166,912 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\drivers\s3gnbm.sys
[2012.12.24 02:22:38 | 000,030,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\rndismpx.sys
[2012.12.24 02:22:37 | 000,404,990 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slntamr.sys
[2012.12.24 02:22:37 | 000,129,535 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnt7554.sys
[2012.12.24 02:22:37 | 000,003,901 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\siint5.dll
[2012.12.24 02:22:36 | 000,095,424 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnthal.sys
[2012.12.24 02:22:36 | 000,013,240 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slwdmsup.sys
[2012.12.24 02:22:36 | 000,005,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\smbali.sys
[2012.12.24 02:22:35 | 000,011,807 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv07nt.sys
[2012.12.24 02:22:35 | 000,011,325 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\vchnt5.dll
[2012.12.24 02:22:34 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv10nt.sys
[2012.12.24 02:22:34 | 000,022,271 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv06nt.sys
[2012.12.24 02:22:34 | 000,011,935 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv11nt.sys
[2012.12.24 02:22:34 | 000,011,871 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv09nt.sys
[2012.12.24 02:22:34 | 000,011,295 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv08nt.sys
[2012.12.24 02:15:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2012.12.24 00:19:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dyn Updater
[2012.12.24 00:19:09 | 000,000,000 | ---D | C] -- C:\Programme\DynDNS Updater
[2012.12.24 00:18:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dyn
[2012.12.23 20:58:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes
[2012.12.23 20:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.12.23 20:49:41 | 010,669,896 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\herbert.exe
[2012.12.23 20:49:41 | 001,754,528 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\abc.exe
[2012.12.23 20:49:00 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2012.12.22 15:56:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XP Defender
[2012.12.22 15:46:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities
[2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ovlu
[2012.12.22 15:46:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ekgina
[2012.12.22 10:45:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles
[2012.12.22 10:41:40 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox
[2012.12.21 16:27:39 | 000,273,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\bthport.sys
[2012.12.21 16:26:52 | 000,353,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\srv.sys
[2012.12.21 16:25:12 | 000,455,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys
[2012.12.21 16:25:00 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2012.12.21 16:24:37 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe
[2012.12.21 16:24:09 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\t2embed.dll
[2012.12.21 16:24:09 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fontsub.dll
[2012.12.21 16:24:00 | 002,192,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe
[2012.12.21 16:23:59 | 000,737,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\lsasrv.dll
[2012.12.21 16:23:57 | 002,148,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe
[2012.12.21 16:23:56 | 002,027,008 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe
[2012.12.21 16:17:05 | 000,203,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rmcast.sys
[2012.12.21 16:16:03 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2012.12.21 16:13:24 | 000,337,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\netapi32.dll
[2012.12.21 15:52:53 | 000,697,272 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.12.21 15:51:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Andreas\UserData
[2012.12.12 17:51:33 | 371,250,488 | ---- | C] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe
[2012.12.10 18:25:11 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.28 12:46:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2012.12.28 12:29:30 | 000,000,339 | RHS- | M] () -- C:\boot.ini
[2012.12.28 09:00:07 | 000,000,368 | ---- | M] () -- C:\WINDOWS\tasks\SyncBack Eigene Dateien.job
[2012.12.27 22:24:04 | 000,035,144 | ---- | M] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys
[2012.12.27 22:23:28 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.12.27 22:21:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.12.27 22:00:56 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.12.26 23:24:32 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable
[2012.12.25 09:19:16 | 000,320,094 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.12.25 09:19:16 | 000,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.12.25 09:19:16 | 000,049,174 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.12.25 09:19:16 | 000,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.12.24 07:27:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012.12.24 07:20:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.12.24 02:22:02 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2012.12.24 00:19:17 | 000,000,525 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk
[2012.12.23 20:56:27 | 000,000,335 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg
[2012.12.22 16:09:17 | 000,046,075 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl
[2012.12.22 16:02:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs
[2012.12.22 10:42:12 | 000,001,087 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Dropbox.lnk
[2012.12.21 15:52:53 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.12.21 15:52:53 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.12.16 18:39:10 | 000,004,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot  2013.htm
[2012.12.16 18:30:51 | 000,103,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm
[2012.12.14 16:04:18 | 000,000,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Bescheinigung.lnk
[2012.12.12 17:51:32 | 371,250,488 | ---- | M] (WinFuture) -- C:\Dokumente und Einstellungen\Andreas\Desktop\WinFuture_WinXPsp3_UpdatePack_3.50_Dezember_2012-Vollversion.exe
[2012.12.04 08:16:54 | 000,013,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.12.28 12:29:30 | 000,000,223 | ---- | C] () -- C:\Boot.bak
[2012.12.28 12:29:26 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2012.12.28 12:21:08 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.12.28 12:21:08 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.12.28 12:21:08 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.12.28 12:21:08 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.12.28 12:21:08 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012.12.27 22:24:04 | 000,035,144 | ---- | C] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys
[2012.12.26 23:24:32 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\defogger_reenable
[2012.12.24 07:27:10 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Outlook Express.lnk
[2012.12.24 07:27:08 | 000,000,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Internet Explorer.lnk
[2012.12.24 02:37:25 | 000,010,457 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.hta
[2012.12.24 02:37:25 | 000,001,771 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmptour.css
[2012.12.24 02:37:25 | 000,001,730 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpocm.inf
[2012.12.24 02:37:25 | 000,000,420 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmploc.js
[2012.12.24 02:37:24 | 000,660,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.chm
[2012.12.24 02:37:24 | 000,076,456 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplayer.adm
[2012.12.24 02:37:24 | 000,026,141 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmplay.chm
[2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud7.wav
[2012.12.24 02:37:23 | 000,343,204 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud6.wav
[2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud9.wav
[2012.12.24 02:37:23 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud8.wav
[2012.12.24 02:37:23 | 000,086,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud5.wav
[2012.12.24 02:37:22 | 000,354,468 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud1.wav
[2012.12.24 02:37:22 | 000,172,196 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud3.wav
[2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud4.wav
[2012.12.24 02:37:22 | 000,086,180 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmpaud2.wav
[2012.12.24 02:37:22 | 000,058,216 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmp.inf
[2012.12.24 02:37:21 | 000,013,540 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmfsdk.inf
[2012.12.24 02:37:20 | 000,034,554 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wmdm.inf
[2012.12.24 02:37:20 | 000,008,677 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm7.gif
[2012.12.24 02:37:20 | 000,007,892 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm9.gif
[2012.12.24 02:37:20 | 000,004,193 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm8.gif
[2012.12.24 02:37:19 | 000,300,969 | ---- | C] () -- C:\WINDOWS\System32\dllcache\viz.wmv
[2012.12.24 02:37:19 | 000,017,489 | ---- | C] () -- C:\WINDOWS\System32\dllcache\videobg.gif
[2012.12.24 02:37:19 | 000,007,636 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm2.gif
[2012.12.24 02:37:19 | 000,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm4.gif
[2012.12.24 02:37:19 | 000,006,241 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm3.gif
[2012.12.24 02:37:19 | 000,006,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm6.gif
[2012.12.24 02:37:19 | 000,005,789 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm1.gif
[2012.12.24 02:37:19 | 000,005,290 | ---- | C] () -- C:\WINDOWS\System32\dllcache\vidsamp.gif
[2012.12.24 02:37:19 | 000,002,477 | ---- | C] () -- C:\WINDOWS\System32\dllcache\wm5.gif
[2012.12.24 02:37:18 | 000,023,829 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tourbg.gif
[2012.12.24 02:37:18 | 000,003,187 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tour.js
[2012.12.24 02:37:18 | 000,002,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplay.gif
[2012.12.24 02:37:18 | 000,002,450 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpause.gif
[2012.12.24 02:37:18 | 000,002,375 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tplayh.gif
[2012.12.24 02:37:18 | 000,002,371 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tpauseh.gif
[2012.12.24 02:37:18 | 000,001,398 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taon.gif
[2012.12.24 02:37:18 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taonh.gif
[2012.12.24 02:37:17 | 000,572,557 | ---- | C] () -- C:\WINDOWS\System32\dllcache\rtuner.wmv
[2012.12.24 02:37:17 | 000,001,810 | ---- | C] () -- C:\WINDOWS\System32\dllcache\skins.inf
[2012.12.24 02:37:17 | 000,001,380 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoff.gif
[2012.12.24 02:37:17 | 000,001,367 | ---- | C] () -- C:\WINDOWS\System32\dllcache\taoffh.gif
[2012.12.24 02:37:17 | 000,001,148 | ---- | C] () -- C:\WINDOWS\System32\dllcache\snd.htm
[2012.12.24 02:37:16 | 000,084,531 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plyr_err.chm
[2012.12.24 02:37:16 | 000,066,132 | ---- | C] () -- C:\WINDOWS\System32\dllcache\revert.wmz
[2012.12.24 02:37:16 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst5.wpl
[2012.12.24 02:37:16 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst6.wpl
[2012.12.24 02:37:16 | 000,001,469 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst3.wpl
[2012.12.24 02:37:16 | 000,001,467 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst4.wpl
[2012.12.24 02:37:16 | 000,001,047 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst7.wpl
[2012.12.24 02:37:16 | 000,001,038 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst8.wpl
[2012.12.24 02:37:16 | 000,000,782 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst9.wpl
[2012.12.24 02:37:15 | 000,375,519 | ---- | C] () -- C:\WINDOWS\System32\dllcache\nuskin.wmv
[2012.12.24 02:37:15 | 000,001,471 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst12.wpl
[2012.12.24 02:37:15 | 000,001,261 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst1.wpl
[2012.12.24 02:37:15 | 000,001,055 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst2.wpl
[2012.12.24 02:37:15 | 000,000,807 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst11.wpl
[2012.12.24 02:37:15 | 000,000,800 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst10.wpl
[2012.12.24 02:37:15 | 000,000,779 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst13.wpl
[2012.12.24 02:37:15 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst14.wpl
[2012.12.24 02:37:15 | 000,000,725 | ---- | C] () -- C:\WINDOWS\System32\dllcache\plylst15.wpl
[2012.12.24 02:37:14 | 000,022,060 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npds.zip
[2012.12.24 02:37:14 | 000,000,403 | ---- | C] () -- C:\WINDOWS\System32\dllcache\npdrmv2.zip
[2012.12.24 02:37:12 | 000,036,610 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplayer2.inf
[2012.12.24 02:37:12 | 000,002,778 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogoh.gif
[2012.12.24 02:37:12 | 000,002,545 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mplogo.gif
[2012.12.24 02:37:10 | 000,457,607 | ---- | C] () -- C:\WINDOWS\System32\dllcache\mdlib.wmv
[2012.12.24 02:37:10 | 000,005,971 | ---- | C] () -- C:\WINDOWS\System32\dllcache\events.js
[2012.12.24 02:37:09 | 000,381,425 | ---- | C] () -- C:\WINDOWS\System32\dllcache\copycd.wmv
[2012.12.24 02:37:09 | 000,009,585 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.css
[2012.12.24 02:37:09 | 000,006,878 | ---- | C] () -- C:\WINDOWS\System32\dllcache\controls.js
[2012.12.24 02:37:08 | 000,184,109 | ---- | C] () -- C:\WINDOWS\System32\dllcache\compact.wmz
[2012.12.24 02:37:08 | 000,008,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\contents.htm
[2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnth.gif
[2012.12.24 02:37:08 | 000,000,773 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cnt.gif
[2012.12.24 02:37:08 | 000,000,772 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cntd.gif
[2012.12.24 02:37:08 | 000,000,760 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapph.gif
[2012.12.24 02:37:08 | 000,000,717 | ---- | C] () -- C:\WINDOWS\System32\dllcache\cloapp.gif
[2012.12.24 02:37:07 | 000,000,999 | ---- | C] () -- C:\WINDOWS\System32\dllcache\bktrh.gif
[2012.12.24 02:22:45 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod
[2012.12.24 02:22:43 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty
[2012.12.24 02:22:39 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img
[2012.12.24 00:19:17 | 000,000,525 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dyn Updater Tray Icon.lnk
[2012.12.23 20:56:26 | 000,000,335 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\fixexe.reg
[2012.12.22 16:09:17 | 000,046,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\lhhtrwxl
[2012.12.22 16:02:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SharedSettings.ccs
[2012.12.16 18:39:10 | 000,004,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Thütingen gruppenangebot  2013.htm
[2012.12.16 18:30:51 | 000,103,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\gruppenreisen ITALY 2013.htm
[2012.12.04 08:16:54 | 000,013,371 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Budapest Hotel für Gruppen.htm
[2011.10.17 09:34:08 | 000,000,103 | ---- | C] () -- C:\WINDOWS\Setup_tmp.ini
[2011.05.31 14:26:15 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\THBIni20.dll
[2011.05.31 14:26:10 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\MC4MInt.dll
 
========== ZeroAccess Check ==========
 
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:06:44 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Andreas\Desktop\Liste Deutschland Zimmerbelegung d 34 Personen f d Fahrt nach Gertianosch vom 02.09.2010.docx:SummaryInformation

< End of report >
         
Extras.txt
Code:
ATTFilter
OTL Extras logfile created on: 28.12.2012 14:27:36 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,23 Mb Total Physical Memory | 509,00 Mb Available Physical Memory | 56,86% Memory free
2,12 Gb Paging File | 1,90 Gb Available in Paging File | 89,59% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 45,21 Gb Free Space | 60,67% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTER1 | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\ART\Office\msohtmed.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00180407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 Runtime
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{8E310838-457C-4269-B177-3EFB300CBDDC}" = Synology Data Replicator  3
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{AE617000-0F7E-42BC-B992-720285B89707}" = DiaScan ® digi+
"{DE2DA32A-F8C7-4E8E-B41D-E5031185CE3F}" = IPView Pro
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Areca" = Areca
"AU Plus 1.0" = AU Plus 1.0
"AU Plus mit Importmodul" = AU Plus mit Importmodul
"DynUpdater" = Dyn Updater
"FBDBServer_2_0_is1" = Firebird 2.0.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"schaden Plus" = schaden Plus
"schaden Plus_is1" = schaden Plus (novaPDF Server OEM 6.2  printer)
"SyncBack_is1" = SyncBack
"TeamViewer 7" = TeamViewer 7
"TightVNC_is1" = TightVNC 1.3.9
"TravelManager" = TravelManager
"UBCD4Win_is1" = UBCD4Win 3.60
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-789336058-1563985344-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 23.12.2012 13:49:39 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:49:40 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00aa9858.
 
Error - 23.12.2012 13:50:49 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:50:52 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:51:03 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 13:51:22 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 23.12.2012 14:06:56 | Computer Name = COMPUTER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung crcxxste.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00873ec4.
 
Error - 25.12.2012 04:23:14 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wgasetup.exe, Version 1.9.40.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 25.12.2012 08:51:05 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.12.2012 11:30:44 | Computer Name = COMPUTER1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.69.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 25.12.2012 05:45:27 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.12.2012 10:34:13 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 25.12.2012 10:35:42 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 27.12.2012 17:01:11 | Computer Name = COMPUTER1 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 27.12.2012 17:02:40 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.12.2012 17:02:40 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 27.12.2012 17:23:14 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dyn Updater" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.12.2012 17:23:14 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 28.12.2012 07:20:57 | Computer Name = COMPUTER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
 
< End of report >
         

Geändert von cronet (28.12.2012 um 15:05 Uhr)

Alt 28.12.2012, 18:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2012, 22:00   #15
cronet
 
Vermutlich Deutsche Post Trojaner - Standard

Vermutlich Deutsche Post Trojaner



Ok. Er hat hier schon noch was gefunden.

Malwarebytes:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Andreas :: COMPUTER1 [Administrator]

Schutz: Aktiviert

28.12.2012 19:10:53
mbam-log-2012-12-28 (19-10-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 239843
Laufzeit: 4 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
ESET:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=6de43680ccf448469954bede088ac81b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-28 08:49:52
# local_time=2012-12-28 09:49:52 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# scanned=162349
# found=3
# cleaned=0
# scan_time=8439
C:\Backup\Sonstiges\Alte Festplatte\WINDOWS\Temporary Internet Files\Content.IE5\O5QNKDYN\ShineDirect[1].htm	HTML/ScrInject.B.Gen virus (unable to clean)	C7B90B5BAA4EB7433AFA517DF8225B89D7F1738F	I
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\eykKyFaptPx\eykKyFaptPx.dll	Win32/Spy.Agent.NZU trojan (unable to clean)	8AF2EE94C406C2AE394FF884F249DF897EA8B156	I
C:\System Volume Information\_restore{1C8B681E-1422-451C-9133-B5700F251805}\RP1555\A0103945.exe	Win32/Spy.Zbot.AAO trojan (unable to clean)	D7318E33FEDA4BF45375CB5C2169345C112463F0	I
         

Antwort

Themen zu Vermutlich Deutsche Post Trojaner
.com, 0xc0000001, 32 bit, adobe reader xi, avira, bho, desktop, e-mail, error, exe, firefox, flash player, gruppe, helper, iexplore.exe, kis, logfile, object, problem, problem mit dem pc, realtek, registry, scan, security, sfirm, software, synology, system, trojaner, windows, windows xp



Ähnliche Themen: Vermutlich Deutsche Post Trojaner


  1. Trojaner durch Fake- Deutsche Post Mail eingefangen
    Log-Analyse und Auswertung - 10.01.2015 (14)
  2. E-Mail Deutsche Post - ein Fehler in der Lieferanschrift
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (4)
  3. Deutsche Post Trojaner - Fehler in der Lieferanschrift
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (10)
  4. Misteriöse e-mail von: Deutsche Post !
    Diskussionsforum - 12.02.2013 (11)
  5. Deutsche Post Mail
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (17)
  6. Deutsche Post E-Mail
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (5)
  7. Deutsche Post Service E-Mail; Anhang geöffnet (Trojaner?)
    Log-Analyse und Auswertung - 22.01.2013 (19)
  8. Deutsche Post Trojaner
    Log-Analyse und Auswertung - 05.01.2013 (18)
  9. Deutsche Post Email Anhang geöffnet
    Log-Analyse und Auswertung - 31.12.2012 (24)
  10. Deutsche Post Trojaner - kein versenden von E-Mails mehr möglich
    Log-Analyse und Auswertung - 20.12.2012 (1)
  11. Deutsche Post Fake email/ trojaner
    Log-Analyse und Auswertung - 29.11.2012 (15)
  12. Trojaner durch Deutsche Post E-Mail
    Log-Analyse und Auswertung - 14.11.2012 (3)
  13. Deutsche Post Etikett-Email
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (9)
  14. Trojaner aus Deutsche Post Fake Mail
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (22)
  15. Deutsche Post Mail-Attacke - Live Platinum Trojaner + Kazy Trojaner
    Log-Analyse und Auswertung - 02.10.2012 (5)
  16. Trojaner auf dem PC wg Phishing-Mail (Deutsche Post) (BrowserModifier win32 zwangi)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (10)
  17. Trojaner nach falscher Deutsche-Post e-mail.
    Log-Analyse und Auswertung - 13.06.2012 (1)

Zum Thema Vermutlich Deutsche Post Trojaner - Hallo, ich habe ein Problem mit dem PC meines Dads. Er hat erzählt dass er auf diese "Deutsche Post" Geschichte reingefallen ist, und er irgendwas in einer e-Mail angeklickt hat. - Vermutlich Deutsche Post Trojaner...
Archiv
Du betrachtest: Vermutlich Deutsche Post Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.