T-Online Virus/Wurm durch mms E-Mail

elflinchen · 14.02.2013, 13:02

Hallo ihr Lieben,

habe leider folgendes Problem: Von "t-online" kam eine E-Mail mit einer MMS als zip-Datei, ein Kollege hatte diese geöffnet und wie zu erwarten versteckte sich dahinter keine MMS sondern ein Virus oder Wurm. Der PC wurde mehrfach neugestartet, damit dürfte die Malware schon ins System eingedrungen sein...Eine Virensuche mit dem installierten Virenprogramm brachte keinen Erfolg, Antivir lies sich nicht installieren (Windows Update wird ausgeführt) Ich nehme an, dass die Malware die Installation verhindert...
Ich möchte den Pc nur äußerst ungern komplett formatieren und neu aufsetzen, da wichtige Programme und Daten darauf sind und hoffe nun auf euere Hilfe.

Eine Log Datei mit OTL habe ich schon gemacht, folgend die Auswertung. Ich danke euch schonmal im Voraus für euere Unterstützung.

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 14.02.2013 11:34:53 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,43 Mb Total Physical Memory | 224,45 Mb Available Physical Memory | 22,10% Memory free
2,39 Gb Paging File | 1,73 Gb Available in Paging File | 72,57% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 17,17 Gb Free Space | 46,09% Space Free | Partition Type: NTFS
Drive D: | 173,39 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive N: | 136,22 Gb Total Space | 25,31 Gb Free Space | 18,58% Space Free | Partition Type: NTFS
Drive S: | 136,22 Gb Total Space | 46,21 Gb Free Space | 33,92% Space Free | Partition Type: NTFS
Drive Z: | 136,22 Gb Total Space | 46,21 Gb Free Space | 33,92% Space Free | Partition Type: NTFS
 
Computer Name: WSW00 | User Name: bernhard | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.14 11:33:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Eigene Dateien\Downloads\OTL.exe
PRC - [2013.02.06 10:36:59 | 000,917,400 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.12.14 16:49:28 | 000,824,232 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2012.09.17 11:41:54 | 000,254,896 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.11.24 14:24:20 | 000,131,584 | ---- | M] (Infomedia Ltd) -- C:\Programme\Infomedia\Infomedia DMSi\InfomediaDMSi.exe
PRC - [2010.06.07 11:35:35 | 000,618,496 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
PRC - [2010.01.05 17:25:48 | 000,348,672 | ---- | M] (Tobit.Software) -- C:\Programme\Tobit.ViProtect\TAVFDSrv.exe
PRC - [2009.12.17 11:15:13 | 000,977,672 | ---- | M] (Tobit.Software) -- C:\Programme\Tobit.ViProtect\TAVfD.exe
PRC - [2009.10.22 19:07:00 | 000,070,728 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe
PRC - [2009.10.22 19:07:00 | 000,066,896 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
PRC - [2009.10.22 19:07:00 | 000,021,256 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.12.27 18:27:52 | 001,228,800 | ---- | M] (sw4you, Siegfried Weckmann) -- C:\hardcopy\hardcopy.exe
PRC - [2005.06.23 19:33:00 | 000,057,344 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
PRC - [2003.11.19 15:47:08 | 002,588,761 | ---- | M] (Alcatel) -- C:\Programme\Deutsche_Telekom\Octopus_CTI\aocphone.exe
PRC - [2003.11.19 15:29:20 | 000,172,032 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\vmbserver.exe
PRC - [2003.07.30 09:08:58 | 000,143,360 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMTray.exe
PRC - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.02.06 10:36:58 | 003,023,256 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2013.01.09 03:49:43 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\96b7a0136e9e72e8f4eb0230c20766d2\System.Configuration.ni.dll
MOD - [2013.01.09 03:48:16 | 000,025,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\cbee94ec6a0fe649e3b4643cea6e1259\Accessibility.ni.dll
MOD - [2013.01.09 03:46:40 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll
MOD - [2013.01.09 03:46:29 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\4c91371e83d124ecb39664613e7e0417\System.Windows.Forms.ni.dll
MOD - [2013.01.09 03:46:01 | 001,593,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll
MOD - [2013.01.09 03:45:27 | 006,616,576 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\8462c03b4f10c4624feb95790d6d1e30\System.Data.ni.dll
MOD - [2013.01.09 03:43:24 | 007,977,984 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll
MOD - [2013.01.09 03:43:10 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll
MOD - [2013.01.09 03:41:05 | 002,933,248 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
MOD - [2012.08.16 11:16:54 | 009,465,032 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll
MOD - [2011.03.21 10:49:38 | 000,315,392 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2011.03.21 10:49:32 | 000,430,080 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll
MOD - [2010.06.07 11:35:35 | 000,618,496 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
MOD - [2010.05.03 10:58:51 | 006,502,912 | ---- | M] () -- C:\WINDOWS\TOBITCLT.DLL
MOD - [2009.08.10 08:07:46 | 000,026,624 | ---- | M] () -- C:\WINDOWS\system32\ssp7ml3.dll
MOD - [2008.05.17 10:22:04 | 000,208,896 | ---- | M] () -- C:\Programme\Infomedia\Infomedia DMSi\Janus.Windows.Common.v3.dll
MOD - [2008.05.17 10:20:52 | 000,221,184 | ---- | M] () -- C:\Programme\Infomedia\Infomedia DMSi\Janus.Data.v3.dll
MOD - [2008.04.14 03:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2007.01.20 20:07:32 | 000,032,768 | ---- | M] () -- C:\Programme\Ematek\MetaWeb\MetaBHO.dll
MOD - [2006.12.22 12:09:54 | 000,434,176 | ---- | M] () -- C:\hardcopy\HcDllS.dll
MOD - [2006.12.21 10:44:56 | 000,065,536 | ---- | M] () -- C:\hardcopy\HcDLL2_J_Win32.dll
MOD - [2006.07.20 16:06:24 | 000,086,016 | ---- | M] () -- C:\WINDOWS\system32\IMGMSGMO.dll
MOD - [2004.09.08 12:45:58 | 000,368,128 | ---- | M] () -- C:\Programme\Filzip\fzshext.dll
MOD - [2003.11.20 12:18:06 | 000,045,056 | ---- | M] () -- C:\hardcopy\hardcopy.dll
MOD - [2003.11.19 15:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\aocmapi.dll
MOD - [2003.11.19 15:31:20 | 000,077,824 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\vmb_watchdog.dll
MOD - [2003.11.19 15:30:04 | 000,040,960 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\audibit.dll
MOD - [2003.11.19 15:29:20 | 000,172,032 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\vmbserver.exe
MOD - [2003.11.19 15:29:00 | 000,143,360 | ---- | M] () -- C:\Programme\Deutsche_Telekom\Octopus_CTI\VMBAPI.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.02.06 10:36:58 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2010.01.05 17:25:48 | 000,348,672 | ---- | M] (Tobit.Software) [Auto | Running] -- C:\Programme\Tobit.ViProtect\TAVFDSrv.exe -- (TAVFDService)
SRV - [2009.10.22 19:07:00 | 000,146,448 | ---- | M] (McAfee, Inc.) [Auto | Start_Pending] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (Mcshield)
SRV - [2009.10.22 19:07:00 | 000,070,728 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2009.10.22 19:07:00 | 000,066,896 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager)
SRV - [2009.10.22 19:07:00 | 000,021,256 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe -- (McAfeeEngineService)
SRV - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.02.14 11:24:56 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2009.10.22 19:07:00 | 000,343,664 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009.10.22 19:07:00 | 000,091,672 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2009.10.22 19:07:00 | 000,065,448 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2009.10.22 19:07:00 | 000,063,728 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2006.10.25 09:34:44 | 000,047,616 | ---- | M] (Aladdin Knowledge Systems) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\Haspnt.sys -- (Haspnt)
DRV - [2006.04.04 22:20:00 | 000,009,344 | ---- | M] (Hewlett Packard) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hpfxbulk.sys -- (HPFXBULK)
DRV - [2005.07.28 07:18:40 | 000,685,056 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock)
DRV - [2005.07.20 17:08:28 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2005.07.20 17:08:26 | 000,327,808 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2004.11.16 14:46:38 | 000,190,592 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2004.08.03 17:29:50 | 000,019,455 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wVchNTxx.sys -- (iAimFP4)
DRV - [2004.08.03 17:29:48 | 000,012,063 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wSiINTxx.sys -- (iAimFP3)
DRV - [2004.08.03 17:29:46 | 000,025,471 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wATV10nt.sys -- (iAimTV5)
DRV - [2004.08.03 17:29:46 | 000,023,615 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys -- (iAimTV4)
DRV - [2004.08.03 17:29:46 | 000,022,271 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wATV06nt.sys -- (iAimTV6)
DRV - [2004.08.03 17:29:44 | 000,033,599 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wATV04nt.sys -- (iAimTV3)
DRV - [2004.08.03 17:29:44 | 000,019,551 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wATV02NT.sys -- (iAimTV1)
DRV - [2004.08.03 17:29:42 | 000,029,311 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wATV01nt.sys -- (iAimTV0)
DRV - [2004.08.03 17:29:42 | 000,011,871 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV09NT.sys -- (iAimFP7)
DRV - [2004.08.03 17:29:40 | 000,011,807 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV07nt.sys -- (iAimFP5)
DRV - [2004.08.03 17:29:40 | 000,011,295 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV08NT.sys -- (iAimFP6)
DRV - [2004.08.03 17:29:38 | 000,161,020 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\i81xnt5.sys -- (i81x)
DRV - [2004.08.03 17:29:38 | 000,012,415 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV01nt.sys -- (iAimFP0)
DRV - [2004.08.03 17:29:38 | 000,012,127 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV02NT.sys -- (iAimFP1)
DRV - [2004.08.03 17:29:38 | 000,011,775 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wADV05NT.sys -- (iAimFP2)
DRV - [2004.02.04 11:34:16 | 000,051,584 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\baspxp32.sys -- (Blfp)
DRV - [2002.04.04 07:32:06 | 000,028,416 | R--- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\symmpi.sys -- (Symmpi)
DRV - [1998.03.03 12:55:58 | 000,040,480 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\mgnt.sys -- (MicroGuard)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com
 
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\SOFTWARE\Microsoft\Internet Explorer\Main,Default Font Size = 01 00 00 00  [binary data]
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-792417951-1796162981-618671499-1013\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledAddons: %7Be001c731-5e37-4538-a5cb-8168736a2360%7D:0.9.9.119
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.2
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer8:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer8:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2007.05.31 08:05:16 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.02.06 10:36:59 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.02.06 10:36:48 | 000,000,000 | ---D | M]
 
[2009.03.24 11:31:40 | 000,000,000 | ---D | M] (No name found) -- C:\Anwendungsdaten\Mozilla\Extensions
[2013.02.14 09:40:02 | 000,000,000 | ---D | M] (No name found) -- C:\Anwendungsdaten\Mozilla\Firefox\Profiles\fusm5qcw.default-1356620211927\extensions
[2013.02.14 09:40:02 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Anwendungsdaten\Mozilla\Firefox\Profiles\fusm5qcw.default-1356620211927\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
[2013.02.06 10:36:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.02.06 10:36:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2013.02.06 10:36:59 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2004.11.04 10:15:00 | 000,073,789 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\npjwp.dll
[2012.07.03 13:36:24 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.06 08:37:18 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.07.03 13:36:24 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.03 13:36:24 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.03 13:36:24 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.03 13:36:24 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013.02.14 10:58:26 | 000,000,822 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (CGMFragment Class) - {0695F52A-89A2-4246-81B5-AFAD2D3B865F} - C:\Programme\Ematek\MetaWeb\MetaBHO.dll ()
O2 - BHO: (WebCGMHlprObj Class) - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\system32\cgmopenbho.dll (CGM Open Consortium, Inc.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (sname) - {F68F0B92-59F4-40DF-A61B-60A04A1B00D7} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-792417951-1796162981-618671499-1013\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Tobit AntiVirus for Desktops] C:\Programme\Tobit.ViProtect\TAVfD.exe (Tobit.Software)
O4 - HKU\S-1-5-21-792417951-1796162981-618671499-1013..\Run: [{0D6C8D54-F3A1-CA09-18B4-F0A0B48DB465}] C:\Anwendungsdaten\Itzi\omutaf.exe ()
O4 - HKU\S-1-5-21-792417951-1796162981-618671499-1013..\Run: [KB00892515.exe] C:\Anwendungsdaten\KB00892515.exe (Exiland Software)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CARLO Schnittstellen Version Checker.lnk = \\De1456n2\carlo\WSVersionChecker.exe (HP Mid-market Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Infomedia DMSi.lnk = C:\Programme\Infomedia\Infomedia DMSi\InfomediaDMSi.exe (Infomedia Ltd)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SDASSIST.LNK = S:\SDII\D\D\EXE.W95\SDASSIST.exe (Deutsche Automobil Treuhand GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\T-Octopus CTI.lnk = C:\Programme\Deutsche_Telekom\Octopus_CTI\aocphone.exe (Alcatel)
O4 - Startup: C:\Dokumente und Einstellungen\bernhard\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 32483 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msmucrft.com ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-792417951-1796162981-618671499-1013\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKU\S-1-5-21-792417951-1796162981-618671499-1013\..Trusted Domains: gm.com ([intouch.rit] https in Trusted sites)
O16 - DPF: {02564A7C-B8FB-4323-BCCD-E213676AC746} hxxp://gwms.kiacdn.com/cab/xProPrint.CAB (xPrint Control)
O16 - DPF: {1A000B1F-B285-4FBF-B3CD-B50845003EBB} hxxp://edos.mobiseurope.com/EDMOS/miplatform/install/MiPlatform_Updater321.cab (CyMiInstaller321 Class)
O16 - DPF: {1E81B1B9-0245-4E6F-AAA7-0BCA975F7B4C} hxxp://www.kia-hotline.com/Namo/NamoWec.cab (NamoWeCtl 6.0 for hmc-kia_ecbank)
O16 - DPF: {4E8D5CC1-8CA2-4BAA-BFA8-A020E36E8AC8} file:///C:/Dokumente%20und%20Einstellungen/bernhard/Lokale%20Einstellungen/Anwendungsdaten/TOBESOFT/MiPlatform320U/Setup/Win32U_3.2/AutoInsTall.cab (AutoInsTaller Control)
O16 - DPF: {55369874-02F5-47E2-A0F7-AC67E1B1866E} hxxp://www.centrodigital.de/smart/setup.ocx (InstallShield Setup Player V18)
O16 - DPF: {77AB1CE3-41B3-49B5-8836-1FBC07FE452D} hxxp://www.kia-hotline.com/ocx/mlreport.cab (MLReport Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {A8104DA4-B6DB-41BD-B2C9-5CE2FE7A7F12} file:///C:/Dokumente%20und%20Einstellungen/bernhard/Lokale%20Einstellungen/Anwendungsdaten/TOBESOFT/MiPlatform320U/Setup/Win32U_3.2/MiPlatform_InstallBase320.cab (MiPlatformBase Control)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_03)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de1456.autoconnect.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4C821402-6B5B-4EFC-8E5A-FC1158F0BE8B}: NameServer = 205.249.170.93
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop Components:1 () - hxxp://partner-net.int.rit.gm.com/opel/extern/partnernet.nsf/Frameset_Start_D?readForm&Login
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O27 - HKLM IFEO\userinit.exe: Debugger -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.10.04 09:14:10 | 000,000,031 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{b23d9fbd-1d02-11e2-a043-0014c2cb5a67}\Shell - "" = AutoRun
O33 - MountPoints2\{b23d9fbd-1d02-11e2-a043-0014c2cb5a67}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b23d9fbd-1d02-11e2-a043-0014c2cb5a67}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{f98e3e2d-527a-11da-9a5d-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{f98e3e2d-527a-11da-9a5d-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f98e3e2d-527a-11da-9a5d-806d6172696f}\Shell\AutoRun\command - "" = D:\LTSSystem.exe -- [2007.10.31 05:50:29 | 000,651,264 | R--- | M] (aano_soft)
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.14 11:24:56 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.02.14 11:23:09 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\Malwarebytes
[2013.02.14 11:22:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.02.14 11:22:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.02.14 11:22:25 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.02.14 11:22:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.02.14 11:21:45 | 000,103,065 | ---- | C] (Exiland Software) -- C:\Anwendungsdaten\KB00892515.exe
[2013.02.14 10:46:32 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\bernhard\Recent
[2013.02.14 10:42:59 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2013.02.14 10:39:18 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2013.02.14 10:39:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HijackThis
[2013.02.14 10:37:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2013.02.14 10:37:52 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2013.02.14 09:40:08 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\QuickScan
[2013.02.14 09:19:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\bernhard\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013.02.13 09:10:29 | 000,000,000 | -H-D | C] -- C:\Anwendungsdaten\0B0AB1FB
[2013.02.13 09:03:34 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\Xau
[2013.02.13 09:03:34 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\Hopo
[2013.02.13 09:03:21 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\Opm
[2013.02.13 09:03:21 | 000,000,000 | ---D | C] -- C:\Anwendungsdaten\Itzi
[2013.02.13 09:03:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Local Settings
[2013.02.06 10:36:44 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.14 11:24:56 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.02.14 11:20:31 | 000,103,065 | ---- | M] (Exiland Software) -- C:\Anwendungsdaten\KB00892515.exe
[2013.02.14 10:59:09 | 000,000,041 | ---- | M] () -- C:\WINDOWS\Filzip.ini
[2013.02.14 10:58:26 | 000,000,822 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.02.14 10:45:33 | 000,097,970 | ---- | M] () -- C:\Eigene Dateien\cc_20130214_104524.reg
[2013.02.14 10:39:18 | 000,001,735 | ---- | M] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\HijackThis.lnk
[2013.02.14 10:32:56 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.14 10:32:42 | 000,000,000 | ---- | M] () -- C:\WINDOWS\TempFile
[2013.02.14 10:32:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.14 10:32:39 | 1064,833,024 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.14 10:17:55 | 000,001,137 | ---- | M] () -- C:\WINDOWS\Tobit.ini
[2013.02.14 09:51:52 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\bernhard\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2013.02.14 08:07:56 | 000,002,475 | ---- | M] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\Carlo.lnk
[2013.02.14 07:58:05 | 002,408,448 | ---- | M] () -- C:\Anwendungsdaten\fin.zup
[2013.02.13 09:04:10 | 000,008,212 | ---- | M] () -- C:\WINDOWS\mfebcdata
[2013.02.08 15:00:52 | 000,000,398 | ---- | M] () -- C:\WINDOWS\tasks\Norton Security Scan.job
[2013.02.08 12:00:02 | 000,001,880 | -H-- | M] () -- C:\Eigene Dateien\Default.rdp
[2013.02.07 10:09:17 | 000,025,922 | ---- | M] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\IMG-001.JPG
[2013.02.06 15:35:25 | 000,000,257 | ---- | M] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\GM GlobalConnect.url
 
========== Files Created - No Company Name ==========
 
[2013.02.14 10:45:27 | 000,097,970 | ---- | C] () -- C:\Eigene Dateien\cc_20130214_104524.reg
[2013.02.14 10:39:18 | 000,001,735 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\HijackThis.lnk
[2013.02.14 10:32:39 | 1064,833,024 | -HS- | C] () -- C:\hiberfil.sys
[2013.02.14 09:51:52 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2013.02.13 09:04:10 | 000,008,212 | ---- | C] () -- C:\WINDOWS\mfebcdata
[2013.02.07 11:10:44 | 000,025,922 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Desktop\IMG-001.JPG
[2012.10.24 14:53:28 | 000,000,471 | ---- | C] () -- C:\WINDOWS\System32\NamoWec6_hmc-kia_ecbank_43619147.ini
[2012.10.12 10:45:44 | 000,000,098 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft.SqlServer.Compact.400.32.bc
[2012.08.24 15:39:04 | 000,238,421 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\neu filzip datai.zip
[2012.08.24 15:28:38 | 000,305,076 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\hartmann.zip
[2012.08.24 15:11:27 | 004,113,318 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Hartmann Sorento 2012.zip
[2012.08.24 15:09:00 | 004,113,318 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Hartmann Sorento Zip.zip
[2012.08.24 15:00:56 | 000,305,076 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\.zip
[2012.02.15 06:09:48 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.09.29 23:25:34 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.08.26 07:36:21 | 000,000,202 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\.dlcstate
[2011.08.19 08:10:45 | 000,482,408 | ---- | C] () -- C:\WINDOWS\ssndii.exe
[2011.08.19 08:10:08 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\ssp7ml3.dll
[2011.08.05 09:16:24 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.12 08:49:32 | 002,408,448 | ---- | C] () -- C:\Anwendungsdaten\fin.zup
[2009.11.18 07:28:44 | 000,002,412 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2007.06.04 14:29:55 | 000,090,004 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\ssfile.png
[2005.11.11 15:29:44 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\bernhard\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2005.11.03 19:34:28 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.06.21 19:18:34 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.03.22 08:41:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Octopus CTI
[2013.02.14 09:29:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tobit
[2006.10.25 09:42:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.DE1456\Anwendungsdaten\T-Octopus CTI
[2012.03.20 23:16:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.WSW00\Anwendungsdaten\T-Octopus CTI
[2011.12.15 08:54:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2007.06.27 14:00:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRISK Software
[2011.08.25 14:54:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MCADMIN
[2012.12.11 13:32:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2011.03.22 16:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Snap-On Business Solutions
[2010.06.10 17:22:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tobit
[2012.06.13 14:22:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\bernhard\Anwendungsdaten\Infomedia
[2006.01.26 14:25:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\bernhard\Anwendungsdaten\T-Octopus CTI
[2010.10.06 08:15:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\karl\Anwendungsdaten\T-Octopus CTI
[2010.10.04 16:56:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\karl\Anwendungsdaten\Tobit
[2007.04.10 12:23:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\thomas\Anwendungsdaten\T-Octopus CTI
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---
achja, die Datei hieß wohl nach dem entpacken "Sybol" oder so ähnlich...genaueres kann ich nicht sagen, da die Mail und Datei bereits gelöscht wurden...

cosinus · 14.02.2013, 13:44

Hallo und

Zitat:

Ich möchte den Pc nur äußerst ungern komplett formatieren und neu aufsetzen, da wichtige Programme und Daten darauf sind und hoffe nun auf euere Hilfe.

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de1456.auto****.de

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

elflinchen · 14.02.2013, 14:18

Oh das tut mir leid, hatte ich überlesen, dass ihr eure Hilfe ausschließlich Privatpersonen zur Verfügung stellt...Das Problem ist, dass wir eine ziemlich kleine Firma ohne EDV/IT-Abteilung sind und dementsprechend unsere PC-Probleme selbst lösen (müssen). Nun hatte ich schon einen halben Tag an dem PC verbracht und bin nicht mehr weiter gekommen, deshalb meine Anfrage an euch.

Also noch mal sorry, ich würde mich aber trotzdem über ein, zwei Tips freuen. Ansonsten bleibt wirklich nur platt und neu machen.

Schon mal schönes Wochenende an euch.

cosinus · 14.02.2013, 14:27

Zitat:

dass wir eine ziemlich kleine Firma ohne EDV/IT-Abteilung sind

Und wer bitte hat denn euer Netzwerk bzw. eure Windows-Server-Domäne eingerichtet?

Völlig ohne Kenntnisse geht das nicht!

elflinchen · 14.02.2013, 15:34

die Domäne war schon vor mir da...gibt es also schon ein paar Jährchen ;-) Inzwischen aber keinerlei Unterstützung/Zusammenarbeit mehr mit der Firma von damals.

Naja ich sehe schon, dass ihr mir nicht glauben wollt...Dann bitte ich um Löschung des Threads und entschuldigung, dass ich euere Zeit "geklaut" habe.

Dann werd ich den PC mal platt machen...

cosinus · 14.02.2013, 15:35

Zudem wollte und muss ich hier nochmal drauf hinweisen:

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Keine Ahnung ob du das vorher überlesen hast oder so

elflinchen · 14.02.2013, 15:56

Auch wenn ich heute schon viereckige Augen habe von den ganzen Hilfeseiten, habe ich es nicht überlesen, ich hatte nur einfach gehofft, dass sich die Malware anders entfernen lässt...Das Neuaufsetzen und Konfiguren mit Domäneneinstellungen ist vieles aber nicht schön...

Unser System funktioniert, aber keiner weiß genau warum, deshalb ist es immer eine "spannende Angelegenheit" ob ein neuer PC/neuaufgesetzter PC reibungslos im System funktioniert...

Außerdem hätte es mich mal interessiert ob jemand weiß was genau denn die Schadsoftware anstellt...

Sinnvoll im Allgemeinen wäre eine komplette Umstellung des Systems (arbeiten in der Cloud etc.) aber die Maßnahmen will leider keiner angehen..daher immer nur notdürftige Reparatur einzelner Stationen von Nicht-fachmännern/frauen (im Zuge der Gleichberechtigung)

Trotzdem danke, dass ihr mich nicht gleich wieder rausgeschmissen habt. Ich werde mich jedenfalls bei privaten PC Problemen nächstes Mal direkt an euch wenden!

cosinus · 14.02.2013, 16:17

Zitat:

Unser System funktioniert, aber keiner weiß genau warum,

Auweia,

bis es irgendwann mal knallt und nichts mehr geht, dann steht ihr da und könnt auch nichts beheben weil keiner weiß wie etwas geht...von Dokumentation ganz zu schweigen.

Ich rate dir dringend, dass sich einer bei euch um diese Dinge mal kümmert, alles optimiert und eine saubere Dokumentation erstellt. Selbstverständlich erzeugt das Kosten, weil ihr jmd einstellen oder eine Firma dazu beauftragen müsst, aber was ist die Alternative? Hoffen, dass alles so fehlerlos läuft? Ist ne schlechte Idee

Zitat:

Das Neuaufsetzen und Konfiguren mit Domäneneinstellungen ist vieles aber nicht schön...

Wenn man weiß was genau umzusetzen ist, was man zu beachten hat etc. sind Windows-Domänen eine supertolle Sache, vereinfacht gerade in einem Netzwerk mit vielen Windows-Clients die Arbeit erheblich und der Aufwand reduziert sich ebenfalls erheblich.

elflinchen · 14.02.2013, 16:24

ja cosinus so ist es...es könnte so einfach sein...aber dann könnte es ja jeder ...
Naja Scherz beiseite...so kann es eigentlich nicht weiterlaufen, sicherlich kostet neue Software/Hardware Geld ebenso wie eine vernünftige Systemeinrichtung, macht aber sicherlich die Arbeitsabläufe einfacher..
Naja es hilft leider nichts, wenn wir uns hier im Board einig sind, davon ändert sich hier leider nichts...

Wie gesagt trotzdem noch mal danke cosinus, war ganz nebenbei auch ganz nette Unterhaltung.

cosinus · 14.02.2013, 16:36

Zitat:

...aber dann könnte es ja jeder ...

Nein eben nicht, rate mal warum es deswegen extra den Beruf Systemadministrator (Fachinformatiker/Systemintegration) gibt!

Zitat:

so kann es eigentlich nicht weiterlaufen, sicherlich kostet neue Software/Hardware Geld

Es ging nicht um neue Software oder Hardware, sondern einfach darum, dass ihr jmd habt, der sich um eure Rechner, Server, aktiven Komponenten kümmert und halt eben alles administriert und dokumentiert. Im Bedarfsfall muss neue Hard- und Softwrae beschafft worden aber doch nicht prinzipiell jetzt sofort ohne zu wissen was bei euch eigentlich los ist

Aber wer sich bei der IT kaputt oder am falschen Ende spart wird halt irgendwann Probleme bekommen. Aber ich kenn das, da machen sich viele Firmenmitarbeiter und Chefs keine Gedanken drüber und erst recht nicht wird investiert weil "es läuft ja alles" - bis das böse Erwachen kommt und ein Problemfall die Firma tage- oder wochenlang außer Gefecht setzt

Wie sieht das überhaupt mit Backup bei euch aus? Macht ihr tägliche Backups oder kann dir Firma dichtmachen wenn euer Fileserver/Domaincontroller abraucht?

elflinchen · 15.02.2013, 08:32

Datensicherung wird gemacht, zumindest vom Server. Bei den einzelnen Arbeitsstationen sieht es anders aus...

Mit "es könnte ja so einfach sein" war nicht gemeint, dass die Einrichtung des Netzwerkes (das richtig funktioniert) einfach ist, sondern dann danach das arbeiten. Wenn alles aufeinander abgestimmt ist ist es unkomplizierter zwischen verschiedenen Arbeitsstationen zu kommunizieren, Updates und Programme zu installieren etc.

Naja, kann mir vielleicht trotzdem jemand sagen, ob sich die Malware womöglich ins Netzwerk gefressen hat, oder nur lokal auf dem PC war?

cosinus · 15.02.2013, 09:07

Zitat:

Bei den einzelnen Arbeitsstationen sieht es anders aus...

Wenn die einzelnen Clients keine wichtigen Daten lokal speichern ist das auch kein Problem. Man muss den Mitarbeitern beibringen, dass alles wichtige eben auf dem Server (zB über ein Netzlaufwerk) gespeichert wird.

Zitat:

Naja, kann mir vielleicht trotzdem jemand sagen, ob sich die Malware womöglich ins Netzwerk gefressen hat, oder nur lokal auf dem PC war?

Unmöglich ist das nicht

elflinchen · 15.02.2013, 09:19

Sag mal Cosinus, du bist doch quasi rund um die Uhr hier oder?

Hmm...habe auf allen Rechnern einen Virenscnan durchgefürt, ohne Befund, heißt aber noch nicht, dass der Virus auch tatsächlich raus ist, richtig?

cosinus · 15.02.2013, 09:27

Zitat:

ohne Befund, heißt aber noch nicht, dass der Virus auch tatsächlich raus ist, richtig?

Genau. Weil kein Virenscanner immer eine 100%ige Trefferrate hat
Das Ergebnis bedeutet nur: der Virenscanner hat keine ihm bekannte Schädlinge gefunden. Es ist also beides möglich, euer Netz ist schädlingsfrei oder es werkelt etwas rum, was der Virenscanner noch nicht kennt.

elflinchen · 15.02.2013, 11:54

Mal eine andere Frage, ich möchte für den PC Nutzer gerne ein Programm installieren, oder eben über die Benutzereinstellungen den PC so konfigurieren, dass er zwar damit arbeiten kann, wenn möglich aber keinen Blödsinn mehr anstellen kann...

Gibt es da eine Möglichkeit, ähnlich wie bei den Schul PCs das so einzustellen, dass er quasi kaum noch was verstellen kann? War nicht das erste Mal, dass der Kollege Viren ins System gebracht hat oder andere PC Fehler verursacht hat...

Danke für Hilfe

T-Online Virus/Wurm durch mms E-Mail

Plagegeister aller Art und deren Bekämpfung: T-Online Virus/Wurm durch mms E-Mail