Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner, abgesicherter Modus nicht möglich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.07.2013, 12:50   #1
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hallo zusammen!


ich habe mit meinem Rechner ein Problem mit dem bekannten GVU Trojaner. Betriebssystem ist Windows XP. Erste Versuche über den abgesicherten Modus erwiesen sich als nutzlos, da der Rechner sofort wieder herunterfährt, sobald der abgesicherte Modus gestartet ist.

Im Prinzip gleicht mein Problem diesem hier exakt:

http://www.trojaner-board.de/137867-...odus-geht.html

Aus diesem Grund habe ich bereits den ersten Schritt aus der dortigen Anleitung befolgt und ein Logfile mit OTLPE erstellt. Das ist das Logfile:

Code:
ATTFilter
OTL logfile created on: 7/8/2013 2:46:28 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,015.00 Mb Total Physical Memory | 786.00 Mb Available Physical Memory | 77.00% Memory free
903.00 Mb Paging File | 824.00 Mb Available in Paging File | 91.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19.53 Gb Total Space | 4.22 Gb Free Space | 21.62% Space Free | Partition Type: NTFS
Drive D: | 315.81 Gb Total Space | 293.57 Gb Free Space | 92.96% Space Free | Partition Type: NTFS
Drive I: | 245.73 Mb Total Space | 100.13 Mb Free Space | 40.75% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2013/06/12 12:41:25 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/02/05 11:48:00 | 000,235,216 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe -- (McComponentHostService)
SRV - [2012/12/14 10:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012/12/14 10:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012/12/04 15:16:51 | 002,869,824 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe -- (swi_service)
SRV - [2012/12/04 15:16:47 | 000,216,640 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe -- (SAVAdminService)
SRV - [2012/12/04 15:16:39 | 001,459,264 | ---- | M] (Sophos Limited) [Auto] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe -- (swi_update)
SRV - [2012/09/19 05:29:42 | 001,699,168 | ---- | M] (TuneUp Software) [Auto] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012/08/09 16:30:25 | 000,232,512 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\AutoUpdate\ALsvc.exe -- (Sophos AutoUpdate Service)
SRV - [2012/07/30 14:50:41 | 000,357,400 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe -- (Sophos Web Control Service)
SRV - [2012/07/26 11:54:21 | 000,139,840 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe -- (SAVService)
SRV - [2012/07/19 06:09:36 | 001,304,184 | ---- | M] (NCP Engineering GmbH) [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe -- (ncprwsnt)
SRV - [2012/07/12 06:09:12 | 000,139,896 | ---- | M] (NCP engineering GmbH) [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe -- (ncpclcfg)
SRV - [2012/04/05 07:49:52 | 000,071,024 | ---- | M] () [Auto] -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe -- (HRService)
SRV - [2011/04/21 03:11:36 | 000,119,808 | ---- | M] () [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\NCPSEC.EXE -- (NcpSec)
SRV - [2006/10/26 14:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005/11/13 20:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/12/14 10:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012/09/19 04:50:50 | 000,010,088 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2012/07/30 14:50:58 | 000,033,696 | ---- | M] (Sophos Limited) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sdcfilter.sys -- (sdcfilter)
DRV - [2012/07/30 14:50:35 | 000,024,832 | ---- | M] (Sophos Limited) [File_System | System] -- C:\WINDOWS\system32\drivers\savonaccessfilter.sys -- (SAVOnAccessFilter)
DRV - [2012/07/30 14:50:31 | 000,031,736 | ---- | M] (Sophos Plc) [Kernel | System] -- C:\WINDOWS\system32\drivers\skmscan.sys -- (SKMScan)
DRV - [2012/07/30 14:50:28 | 000,155,392 | ---- | M] (Sophos Limited) [File_System | System] -- C:\WINDOWS\system32\drivers\savonaccesscontrol.sys -- (SAVOnAccessControl)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (ncpvaxp)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (NcpFiltMP)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (NcpFilt)
DRV - [2010/12/26 08:09:34 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2009/08/05 12:38:22 | 005,874,176 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/08/05 15:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/05/23 03:38:25 | 000,014,976 | ---- | M] (Sophos Plc) [Kernel | Disabled] -- C:\WINDOWS\system32\drivers\SophosBootDriver.sys -- (SophosBootDriver)
DRV - [2007/10/17 15:12:00 | 000,030,720 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
DRV - [2006/01/04 10:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.modell-hohenlohe.de/
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMSS.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2013/02/17 05:47:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2013/02/17 05:47:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions\ideskbrowser@haufe.de
 
O1 HOSTS File: ([2004/08/04 10:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Programme\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [NcpBudgetGui] C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [NcpMonitor] C:\Programme\LANCOM\Advanced VPN Client\ncpmon.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [NcpPopup] C:\Programme\LANCOM\Advanced VPN Client\ncppopup.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] C:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Limited)
O4 - HKU\Administrator_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe (NVIDIA Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2]  File not found
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [nltide_2]  File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [nltide_2]  File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [ShowDeskFix]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 177
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1365183656687 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL) - C:\Programme\Sophos\Sophos Anti-Virus\sophos_detoured.dll (Sophos Limited)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/12/26 06:41:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/07/07 15:10:28 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013/06/30 05:10:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
[2013/06/30 05:07:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2013/06/30 05:06:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AC3Filter
[2013/06/30 05:06:52 | 000,000,000 | ---D | C] -- C:\Programme\AC3Filter
[2013/06/30 05:06:22 | 004,411,392 | ---- | C] (Gabest) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mplayerc.exe
[2013/06/12 11:41:29 | 009,089,416 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/07/08 06:49:10 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/07/08 06:46:27 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/07/08 06:46:10 | 000,001,100 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/07/08 06:31:20 | 000,163,071 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,044 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,036 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/07/08 06:10:00 | 000,001,104 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/07/08 05:41:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/07/07 15:09:00 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Outlook 2007.lnk
[2013/07/01 16:14:26 | 000,037,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013/06/30 05:06:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AC3Filter
[2013/06/29 13:15:59 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013/06/12 14:03:36 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/06/12 12:41:24 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/06/12 12:41:24 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/06/12 12:41:21 | 009,089,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/07/08 06:31:20 | 000,163,071 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,044 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/06/30 05:06:52 | 000,965,120 | ---- | C] () -- C:\WINDOWS\System32\ac3filter.acm
[2013/04/04 08:04:27 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/02/16 16:51:37 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/08/15 06:05:27 | 000,037,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/05/15 05:32:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc
[2011/01/02 07:48:23 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2010/12/30 09:53:42 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2010/12/26 07:18:05 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v1587.dll
[2010/12/26 06:45:52 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/12/26 06:38:58 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/12/26 06:38:12 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2010/12/26 06:34:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/12/26 06:32:47 | 000,393,568 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/04/14 04:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007/04/27 04:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2006/12/31 03:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 10:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 10:00:00 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2004/08/04 10:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 10:00:00 | 000,452,746 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 10:00:00 | 000,435,832 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 10:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 10:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 10:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 10:00:00 | 000,081,748 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 10:00:00 | 000,068,728 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 10:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 10:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 10:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 10:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 10:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/04 10:00:00 | 000,000,088 | ---- | C] () -- C:\WINDOWS\System32\AIO-Auswahl.ini
 
========== LOP Check ==========
 
[2010/12/30 09:57:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CD-LabelPrint
[2010/12/26 08:17:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Lite
[2013/02/17 05:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Haufe Mediengruppe
[2011/04/24 07:37:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ImgBurn
[2011/10/16 03:43:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX
[2010/12/26 07:12:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
[2012/11/13 11:05:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2013/04/01 06:42:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2011/01/26 13:39:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Unigraphics Solutions
[2010/12/27 13:54:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2013/04/05 13:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8021B826286A4FF500008021380D585D
[2010/12/30 09:53:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2013/04/01 06:41:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2010/12/26 08:09:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2013/02/17 05:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2011/10/16 03:34:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2012/07/30 14:54:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2013/04/01 06:42:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2013/04/01 06:48:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2013/04/01 06:48:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
 
========== Purity Check ==========
 
 
< End of report >
         

Für Hilfe zum weiteren Vorgehen bin ich unendlich dankbar!


Viele Grüße,
Stefan

Alt 08.07.2013, 12:55   #2
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - HKU\Administrator_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe
(NVIDIA Corporation)
:Files
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe
:Commands
[EMPTYFLASH] 
[emptytemp]
         


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
Es kann evtl. bei neustart möglich sein, das der Desktop nicht geladen wird, drücke dann:
strg+alt+entf
das startet den Taskmanager, gehe dort auf Anwendung, neuer Task, tippe:
explorer.exe
enter
dann solltest du den Desktop sehen, teile mir mit, falls dies nötig war.

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 08.07.2013, 13:19   #3
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hallo,


vielen Dank für die rasche Hilfe.


Nachdem ich die fix.txt manuell eingetragen hatte lief es durch.

Ich habe danach den Rechner neu gestartet, ich musste - wie von dir beschrieben - über den Taskmanager explorer.exe starten. Die gelang mit einer Verzögerung von ca. einer Minute. Der Rechner ist nun erstmal wieder so, wie ich es erhofft hatte

MovedFiles ist hochgeladen, hier ist das Logfile:

Code:
ATTFilter
========== OTL ==========
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
->Temp folder emptied: 1724089 bytes
->Temporary Internet Files folder emptied: 32188486 bytes
->Java cache emptied: 458144 bytes
->Google Chrome cache emptied: 6430985 bytes
->Opera cache emptied: 30753348 bytes
->Flash cache emptied: 25692 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66268 bytes
->Temporary Internet Files folder emptied: 4979334 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 22994914 bytes
->Flash cache emptied: 3013 bytes
 
Total Flash Files Cleaned = 95.00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 55175 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 187463 bytes
 
Total Files Cleaned = 2.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 07082013_150502
         

Vielen Dank!
__________________

Alt 08.07.2013, 13:42   #4
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,
danke für den Upload. Um das Problem mit dem Explorer kümmern wir uns jetzt.
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



nach Neustart sollte der Desktop wieder normal laden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2013, 14:21   #5
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hier das Logfile von Combofix:

Code:
ATTFilter
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-07-08.02 - Administrator 08.07.2013  16:10:15.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.307 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Disabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
FW: LANCOM Advanced VPN Client *Disabled* {33F684F9-95EF-4FC3-9196-012CF0A4D310}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\All Users\Anwendungsdaten\2433f433
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-06-08 bis 2013-07-08  ))))))))))))))))))))))))))))))
.
.
2013-07-08 19:05 . 2013-07-08 13:17	--------	d-----w-	C:\_OTL
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\system32\xircom
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\srchasst
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\programme\microsoft frontpage
2013-06-30 09:10 . 2013-06-30 09:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2013-06-30 09:07 . 2013-06-30 09:07	--------	d--h--w-	c:\windows\PIF
2013-06-30 09:06 . 2013-06-30 09:06	--------	d-----w-	c:\programme\AC3Filter
2013-06-30 09:06 . 2012-06-17 20:10	965120	----a-w-	c:\windows\system32\ac3filter.acm
2013-06-12 15:41 . 2013-06-12 16:41	9089416	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 16:41 . 2012-04-01 06:27	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-06-12 16:41 . 2011-05-29 06:16	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-17 20:30 . 2008-05-31 11:13	78336	----a-w-	c:\windows\system32\ieencode.dll
2013-05-17 20:30 . 2008-03-01 12:33	841216	----a-w-	c:\windows\system32\wininet.dll
2013-05-17 20:30 . 2008-03-01 12:33	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2013-05-17 20:30 . 2008-05-31 11:13	17408	----a-w-	c:\windows\system32\corpol.dll
2013-05-03 05:39 . 2008-04-14 07:29	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-05-03 05:39 . 2008-04-14 05:30	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-04-12 14:00 . 2008-04-14 07:23	1876480	----a-w-	c:\windows\system32\win32k.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-05-15 . 3122DAF86B33ED8AC4662D07593025D7 . 501760 . . [1.0626.6001.18000] . . c:\windows\system32\usp10.dll
[7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\system32\dllcache\usp10.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2012-08-09 900160]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"NcpBudgetGui"="c:\programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" [2012-05-10 1001472]
"NcpPopup"="c:\programme\LANCOM\Advanced VPN Client\ncppopup.exe" [2012-03-20 1011280]
"NcpMonitor"="c:\programme\LANCOM\Advanced VPN Client\ncpmon.exe" [2012-07-20 6673528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2013-05-17 124928]
"IE7"="advpack.dll" [2013-05-17 124928]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" -autorun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"=
"c:\\Programme\\LANCOM\\Advanced VPN Client\\NCPMON.exe"=
"c:\\Programme\\Opera\\opera.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.12.2010 14:09 691696]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [30.12.2010 15:27 155392]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [30.12.2010 15:27 24832]
R1 SKMScan;SKMScan;c:\windows\system32\drivers\skmscan.sys [30.07.2012 20:50 31736]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [05.04.2012 13:49 71024]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [05.04.2013 18:29 398184]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [05.04.2013 18:29 682344]
R2 ncpclcfg;NCP Client Configuration Support;c:\programme\LANCOM\Advanced VPN Client\ncpclcfg.exe [13.11.2012 17:15 139896]
R2 ncprwsnt;NCP Client VPN und Dialing Service;c:\programme\LANCOM\Advanced VPN Client\ncprwsnt.exe [13.11.2012 17:15 1304184]
R2 NcpSec;NCP Client PKI Support;c:\programme\LANCOM\Advanced VPN Client\NCPSEC.EXE [13.11.2012 17:15 119808]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.12.2012 21:16 216640]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [26.07.2012 17:54 139840]
R2 Sophos Web Control Service;Sophos Web Control Service;c:\programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [30.07.2012 20:50 357400]
R2 swi_service;Sophos Web Intelligence Service;c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [04.12.2012 21:16 2869824]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05.04.2013 18:29 21104]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088]
S2 swi_update;Sophos Web Intelligence Update;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe [30.07.2012 20:54 1459264]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02.01.2011 14:09 1684736]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.318\McCHSvc.exe [05.02.2013 17:48 235216]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [30.07.2012 20:50 33696]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [30.12.2010 15:27 14976]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SWI_UPDATE
*NewlyCreated* - WS2IFSL
*NewlyCreated* - WUAUSERV
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-29 17:10	1165776	----a-w-	c:\programme\Google\Chrome\Application\27.0.1453.116\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 16:41]
.
2013-07-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-12 17:50]
.
2013-07-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-12 17:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.modell-hohenlohe.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-08 16:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2240)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Haufe\iDesk\iDeskService\ideskpython.exe
c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesApp32.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-07-08  16:18:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-07-08 14:18
.
Vor Suchlauf: 4.529.856.512 Bytes frei
Nach Suchlauf: 4.717.903.872 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 4D49A912E9418EFD6392FE75CFB47FEC
         
--- --- --- 72B8CE41AF0DE751C946802B3ED844B4

Rechner bootet wieder normal! Vielen Dank!

Grüße,
Stefan


Alt 08.07.2013, 14:25   #6
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



So soll das sein.
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
--> GVU Trojaner, abgesicherter Modus nicht möglich

Alt 08.07.2013, 14:37   #7
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hat geklappt, hier das Logfile vom TDSSKiller:

Code:
ATTFilter
16:34:37.0500 1016  TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
16:34:37.0781 1016  ============================================================
16:34:37.0781 1016  Current date / time: 2013/07/08 16:34:37.0781
16:34:37.0781 1016  SystemInfo:
16:34:37.0781 1016  
16:34:37.0781 1016  OS Version: 5.1.2600 ServicePack: 3.0
16:34:37.0781 1016  Product type: Workstation
16:34:37.0781 1016  ComputerName: SHOCKWAVE
16:34:37.0781 1016  UserName: Administrator
16:34:37.0781 1016  Windows directory: C:\WINDOWS
16:34:37.0781 1016  System windows directory: C:\WINDOWS
16:34:37.0781 1016  Processor architecture: Intel x86
16:34:37.0781 1016  Number of processors: 2
16:34:37.0781 1016  Page size: 0x1000
16:34:37.0781 1016  Boot type: Normal boot
16:34:37.0781 1016  ============================================================
16:34:38.0562 1016  Drive \Device\Harddisk0\DR0 - Size: 0x53D67B6000 (335.35 Gb), SectorSize: 0x200, Cylinders: 0xAB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
16:34:38.0578 1016  ============================================================
16:34:38.0578 1016  \Device\Harddisk0\DR0:
16:34:38.0578 1016  MBR partitions:
16:34:38.0578 1016  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2711637
16:34:38.0593 1016  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x27116B5, BlocksNum 0x2779D44B
16:34:38.0593 1016  ============================================================
16:34:38.0609 1016  C: <-> \Device\Harddisk0\DR0\Partition1
16:34:38.0640 1016  D: <-> \Device\Harddisk0\DR0\Partition2
16:34:38.0640 1016  ============================================================
16:34:38.0640 1016  Initialize success
16:34:38.0640 1016  ============================================================
16:35:17.0718 3388  ============================================================
16:35:17.0718 3388  Scan started
16:35:17.0718 3388  Mode: Manual; SigCheck; TDLFS; 
16:35:17.0718 3388  ============================================================
16:35:17.0890 3388  ================ Scan system memory ========================
16:35:18.0437 3388  System memory - ok
16:35:18.0437 3388  ================ Scan services =============================
16:35:18.0546 3388  Abiosdsk - ok
16:35:18.0546 3388  abp480n5 - ok
16:35:18.0578 3388  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
16:35:19.0218 3388  ACPI - ok
16:35:19.0234 3388  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\drivers\ACPIEC.sys
16:35:19.0343 3388  ACPIEC - ok
16:35:19.0375 3388  [ 9915504F602D277EE47FD843A677FD15 ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
16:35:19.0390 3388  AdobeFlashPlayerUpdateSvc - ok
16:35:19.0406 3388  adpu160m - ok
16:35:19.0421 3388  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
16:35:19.0515 3388  aec - ok
16:35:19.0531 3388  [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD             C:\WINDOWS\System32\drivers\afd.sys
16:35:19.0562 3388  AFD - ok
16:35:19.0578 3388  Aha154x - ok
16:35:19.0578 3388  aic78u2 - ok
16:35:19.0578 3388  aic78xx - ok
16:35:19.0609 3388  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
16:35:19.0718 3388  Alerter - ok
16:35:19.0718 3388  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
16:35:19.0765 3388  ALG - ok
16:35:19.0765 3388  AliIde - ok
16:35:19.0828 3388  [ F6AF59D6EEE5E1C304F7F73706AD11D8 ] Ambfilt         C:\WINDOWS\system32\drivers\Ambfilt.sys
16:35:19.0953 3388  Ambfilt - ok
16:35:19.0953 3388  amsint - ok
16:35:19.0968 3388  [ D45960BE52C3C610D361977057F98C54 ] AppMgmt         C:\WINDOWS\System32\appmgmts.dll
16:35:20.0031 3388  AppMgmt - ok
16:35:20.0031 3388  asc - ok
16:35:20.0031 3388  asc3350p - ok
16:35:20.0046 3388  asc3550 - ok
16:35:20.0093 3388  [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
16:35:20.0109 3388  aspnet_state - ok
16:35:20.0125 3388  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
16:35:20.0218 3388  AsyncMac - ok
16:35:20.0250 3388  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
16:35:20.0343 3388  atapi - ok
16:35:20.0375 3388  [ F6475D507AB08F15121BEBF84209FE72 ] AtcL002         C:\WINDOWS\system32\DRIVERS\l251x86.sys
16:35:20.0375 3388  AtcL002 ( UnsignedFile.Multi.Generic ) - warning
16:35:20.0375 3388  AtcL002 - detected UnsignedFile.Multi.Generic (1)
16:35:20.0375 3388  Atdisk - ok
16:35:20.0406 3388  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
16:35:20.0500 3388  Atmarpc - ok
16:35:20.0500 3388  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
16:35:20.0593 3388  AudioSrv - ok
16:35:20.0609 3388  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
16:35:20.0703 3388  audstub - ok
16:35:20.0718 3388  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
16:35:20.0812 3388  Beep - ok
16:35:20.0843 3388  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
16:35:20.0937 3388  BITS - ok
16:35:20.0953 3388  [ B71549F23736ADF83A571061C47777FD ] Browser         C:\WINDOWS\System32\browser.dll
16:35:21.0015 3388  Browser - ok
16:35:21.0015 3388  catchme - ok
16:35:21.0046 3388  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
16:35:21.0140 3388  cbidf2k - ok
16:35:21.0140 3388  cd20xrnt - ok
16:35:21.0140 3388  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
16:35:21.0234 3388  Cdaudio - ok
16:35:21.0250 3388  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
16:35:21.0343 3388  Cdfs - ok
16:35:21.0359 3388  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
16:35:21.0437 3388  Cdrom - ok
16:35:21.0437 3388  Changer - ok
16:35:21.0453 3388  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc           C:\WINDOWS\system32\cisvc.exe
16:35:21.0546 3388  CiSvc - ok
16:35:21.0562 3388  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
16:35:21.0656 3388  ClipSrv - ok
16:35:21.0671 3388  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
16:35:21.0687 3388  clr_optimization_v2.0.50727_32 - ok
16:35:21.0687 3388  CmdIde - ok
16:35:21.0703 3388  COMSysApp - ok
16:35:21.0703 3388  Cpqarray - ok
16:35:21.0718 3388  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
16:35:21.0812 3388  CryptSvc - ok
16:35:21.0812 3388  dac2w2k - ok
16:35:21.0812 3388  dac960nt - ok
16:35:21.0843 3388  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
16:35:21.0890 3388  DcomLaunch - ok
16:35:21.0906 3388  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
16:35:22.0000 3388  Dhcp - ok
16:35:22.0015 3388  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
16:35:22.0093 3388  Disk - ok
16:35:22.0109 3388  dmadmin - ok
16:35:22.0125 3388  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
16:35:22.0265 3388  dmboot - ok
16:35:22.0281 3388  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
16:35:22.0375 3388  dmio - ok
16:35:22.0390 3388  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
16:35:22.0484 3388  dmload - ok
16:35:22.0500 3388  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
16:35:22.0578 3388  dmserver - ok
16:35:22.0593 3388  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
16:35:22.0687 3388  DMusic - ok
16:35:22.0718 3388  [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
16:35:22.0750 3388  Dnscache - ok
16:35:22.0765 3388  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
16:35:22.0859 3388  Dot3svc - ok
16:35:22.0859 3388  dpti2o - ok
16:35:22.0875 3388  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
16:35:22.0968 3388  drmkaud - ok
16:35:22.0984 3388  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
16:35:23.0078 3388  EapHost - ok
16:35:23.0093 3388  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
16:35:23.0171 3388  ERSvc - ok
16:35:23.0203 3388  [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog        C:\WINDOWS\system32\services.exe
16:35:23.0218 3388  Eventlog - ok
16:35:23.0250 3388  [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem     C:\WINDOWS\system32\es.dll
16:35:23.0281 3388  EventSystem - ok
16:35:23.0296 3388  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
16:35:23.0390 3388  Fastfat - ok
16:35:23.0406 3388  [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
16:35:23.0437 3388  FastUserSwitchingCompatibility - ok
16:35:23.0453 3388  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
16:35:23.0531 3388  Fdc - ok
16:35:23.0546 3388  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
16:35:23.0625 3388  Fips - ok
16:35:23.0640 3388  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
16:35:23.0734 3388  Flpydisk - ok
16:35:23.0765 3388  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\DRIVERS\fltMgr.sys
16:35:23.0843 3388  FltMgr - ok
16:35:23.0875 3388  [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
16:35:23.0890 3388  FontCache3.0.0.0 - ok
16:35:23.0906 3388  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
16:35:24.0000 3388  Fs_Rec - ok
16:35:24.0015 3388  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
16:35:24.0109 3388  Ftdisk - ok
16:35:24.0125 3388  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
16:35:24.0218 3388  Gpc - ok
16:35:24.0281 3388  [ 506708142BC63DABA64F2D3AD1DCD5BF ] gupdate         C:\Programme\Google\Update\GoogleUpdate.exe
16:35:24.0328 3388  gupdate - ok
16:35:24.0343 3388  [ 506708142BC63DABA64F2D3AD1DCD5BF ] gupdatem        C:\Programme\Google\Update\GoogleUpdate.exe
16:35:24.0359 3388  gupdatem - ok
16:35:24.0375 3388  [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus        C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
16:35:24.0468 3388  HDAudBus - ok
16:35:24.0515 3388  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
16:35:24.0609 3388  helpsvc - ok
16:35:24.0609 3388  HidServ - ok
16:35:24.0625 3388  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
16:35:24.0718 3388  hkmsvc - ok
16:35:24.0718 3388  hpn - ok
16:35:24.0765 3388  [ F99342BAF988B928312AF2F0AA56171A ] HRService       C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
16:35:24.0781 3388  HRService - ok
16:35:24.0812 3388  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
16:35:24.0843 3388  HTTP - ok
16:35:24.0859 3388  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
16:35:24.0953 3388  HTTPFilter - ok
16:35:24.0953 3388  i2omgmt - ok
16:35:24.0953 3388  i2omp - ok
16:35:24.0984 3388  [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt        C:\WINDOWS\system32\DRIVERS\i8042prt.sys
16:35:25.0078 3388  i8042prt - ok
16:35:25.0218 3388  [ 48846B31BE5A4FA662CCFDE7A1BA86B9 ] ialm            C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
16:35:25.0484 3388  ialm - ok
16:35:25.0531 3388  [ DAF66902F08796F9C694901660E5A64A ] IDriverT        C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
16:35:25.0531 3388  IDriverT ( UnsignedFile.Multi.Generic ) - warning
16:35:25.0531 3388  IDriverT - detected UnsignedFile.Multi.Generic (1)
16:35:25.0578 3388  [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc           C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
16:35:25.0625 3388  idsvc - ok
16:35:25.0703 3388  [ 36381DFBC8DFFF63B37B0FAA22A8E497 ] igfx            C:\WINDOWS\system32\DRIVERS\igdkmd32.sys
16:35:25.0796 3388  igfx ( UnsignedFile.Multi.Generic ) - warning
16:35:25.0796 3388  igfx - detected UnsignedFile.Multi.Generic (1)
16:35:25.0843 3388  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
16:35:25.0937 3388  Imapi - ok
16:35:25.0937 3388  ini910u - ok
16:35:26.0078 3388  [ 0CE2EAB2FFB33B8B0EF2B8E0D8B3F026 ] IntcAzAudAddService C:\WINDOWS\system32\drivers\RtkHDAud.sys
16:35:26.0312 3388  IntcAzAudAddService - ok
16:35:26.0312 3388  IntelIde - ok
16:35:26.0343 3388  [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
16:35:26.0437 3388  intelppm - ok
16:35:26.0453 3388  [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw           C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
16:35:26.0531 3388  Ip6Fw - ok
16:35:26.0546 3388  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
16:35:26.0656 3388  IpFilterDriver - ok
16:35:26.0671 3388  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
16:35:26.0750 3388  IpInIp - ok
16:35:26.0765 3388  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
16:35:26.0859 3388  IpNat - ok
16:35:26.0875 3388  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
16:35:26.0968 3388  IPSec - ok
16:35:26.0984 3388  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
16:35:27.0031 3388  IRENUM - ok
16:35:27.0046 3388  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
16:35:27.0156 3388  isapnp - ok
16:35:27.0218 3388  [ A38441ED570F190CC041A7BE49488FA7 ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
16:35:27.0234 3388  JavaQuickStarterService - ok
16:35:27.0250 3388  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
16:35:27.0343 3388  Kbdclass - ok
16:35:27.0375 3388  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
16:35:27.0468 3388  kmixer - ok
16:35:27.0500 3388  [ B467646C54CC746128904E1654C750C1 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
16:35:27.0515 3388  KSecDD - ok
16:35:27.0546 3388  [ 2BBDCB79900990F0716DFCB714E72DE7 ] LanmanServer    C:\WINDOWS\System32\srvsvc.dll
16:35:27.0578 3388  LanmanServer - ok
16:35:27.0609 3388  [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
16:35:27.0625 3388  lanmanworkstation - ok
16:35:27.0640 3388  lbrtfdc - ok
16:35:27.0656 3388  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
16:35:27.0750 3388  LmHosts - ok
16:35:27.0765 3388  [ 629CABB0421668C9D3D402A3C3D77E14 ] MBAMProtector   C:\WINDOWS\system32\drivers\mbam.sys
16:35:28.0156 3388  MBAMProtector ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0156 3388  MBAMProtector - detected UnsignedFile.Multi.Generic (1)
16:35:28.0203 3388  [ 1ACAA67676E9E7BDA5E0C41B6E0DECAF ] MBAMScheduler   C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
16:35:28.0218 3388  MBAMScheduler ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0218 3388  MBAMScheduler - detected UnsignedFile.Multi.Generic (1)
16:35:28.0250 3388  [ 916B8954AC3E06DC9E898AFFB41F3FB6 ] MBAMService     C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
16:35:28.0328 3388  MBAMService ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0328 3388  MBAMService - detected UnsignedFile.Multi.Generic (1)
16:35:28.0390 3388  [ DDCC236009C707761D60E5C76D639176 ] McComponentHostService C:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe
16:35:28.0406 3388  McComponentHostService - ok
16:35:28.0421 3388  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
16:35:28.0500 3388  Messenger - ok
16:35:28.0546 3388  [ FAFE367D032ED82E9332B4C741A20216 ] Microsoft Office Groove Audit Service C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
16:35:28.0562 3388  Microsoft Office Groove Audit Service - ok
16:35:28.0578 3388  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
16:35:28.0671 3388  Modem - ok
16:35:28.0718 3388  [ 9FA7207D1B1ADEAD88AE8EED9CDBBAA5 ] Monfilt         C:\WINDOWS\system32\drivers\Monfilt.sys
16:35:28.0812 3388  Monfilt - ok
16:35:28.0828 3388  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
16:35:28.0906 3388  Mouclass - ok
16:35:28.0921 3388  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
16:35:29.0015 3388  MountMgr - ok
16:35:29.0015 3388  mraid35x - ok
16:35:29.0046 3388  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
16:35:29.0125 3388  MRxDAV - ok
16:35:29.0156 3388  [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
16:35:29.0203 3388  MRxSmb - ok
16:35:29.0234 3388  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\system32\msdtc.exe
16:35:29.0328 3388  MSDTC - ok
16:35:29.0343 3388  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
16:35:29.0421 3388  Msfs - ok
16:35:29.0421 3388  MSIServer - ok
16:35:29.0437 3388  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
16:35:29.0515 3388  MSKSSRV - ok
16:35:29.0531 3388  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
16:35:29.0609 3388  MSPCLOCK - ok
16:35:29.0625 3388  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
16:35:29.0718 3388  MSPQM - ok
16:35:29.0750 3388  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
16:35:29.0828 3388  mssmbios - ok
16:35:29.0843 3388  [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
16:35:29.0890 3388  Mup - ok
16:35:29.0906 3388  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
16:35:30.0000 3388  napagent - ok
16:35:30.0046 3388  [ 60EA4D9D965194179820BC8B8CEBBFA2 ] ncpclcfg        C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe
16:35:30.0062 3388  ncpclcfg - ok
16:35:30.0078 3388  [ AEB9BC97FE8B7DB452291205AAA21BAC ] NcpFilt         C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0093 3388  NcpFilt - ok
16:35:30.0109 3388  [ AEB9BC97FE8B7DB452291205AAA21BAC ] NcpFiltMP       C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0125 3388  NcpFiltMP - ok
16:35:30.0156 3388  [ BF36BE6FEED2EFCFB91C9BECE3274CE6 ] ncprwsnt        C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe
16:35:30.0218 3388  ncprwsnt - ok
16:35:30.0250 3388  [ 2297DFFA323B0EF542F0EC623276E94C ] NcpSec          C:\Programme\LANCOM\Advanced VPN Client\NCPSEC.EXE
16:35:30.0265 3388  NcpSec ( UnsignedFile.Multi.Generic ) - warning
16:35:30.0265 3388  NcpSec - detected UnsignedFile.Multi.Generic (1)
16:35:30.0281 3388  [ AEB9BC97FE8B7DB452291205AAA21BAC ] ncpvaxp         C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0296 3388  ncpvaxp - ok
16:35:30.0328 3388  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
16:35:30.0406 3388  NDIS - ok
16:35:30.0421 3388  [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
16:35:30.0468 3388  NdisTapi - ok
16:35:30.0484 3388  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
16:35:30.0562 3388  Ndisuio - ok
16:35:30.0578 3388  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
16:35:30.0671 3388  NdisWan - ok
16:35:30.0687 3388  [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
16:35:30.0718 3388  NDProxy - ok
16:35:30.0734 3388  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
16:35:30.0812 3388  NetBIOS - ok
16:35:30.0828 3388  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
16:35:30.0921 3388  NetBT - ok
16:35:30.0937 3388  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
16:35:31.0046 3388  NetDDE - ok
16:35:31.0046 3388  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
16:35:31.0125 3388  NetDDEdsdm - ok
16:35:31.0156 3388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\system32\lsass.exe
16:35:31.0234 3388  Netlogon - ok
16:35:31.0250 3388  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
16:35:31.0343 3388  Netman - ok
16:35:31.0375 3388  [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
16:35:31.0390 3388  NetTcpPortSharing - ok
16:35:31.0406 3388  [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla             C:\WINDOWS\System32\mswsock.dll
16:35:31.0437 3388  Nla - ok
16:35:31.0453 3388  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
16:35:31.0531 3388  Npfs - ok
16:35:31.0546 3388  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
16:35:31.0656 3388  Ntfs - ok
16:35:31.0671 3388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
16:35:31.0750 3388  NtLmSsp - ok
16:35:31.0765 3388  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
16:35:31.0875 3388  NtmsSvc - ok
16:35:31.0906 3388  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
16:35:31.0984 3388  Null - ok
16:35:32.0000 3388  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
16:35:32.0093 3388  NwlnkFlt - ok
16:35:32.0093 3388  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
16:35:32.0187 3388  NwlnkFwd - ok
16:35:32.0265 3388  [ 84DE1DD996B48B05ACE31AD015FA108A ] odserv          C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
16:35:32.0281 3388  odserv - ok
16:35:32.0296 3388  [ 5A432A042DAE460ABE7199B758E8606C ] ose             C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
16:35:32.0312 3388  ose - ok
16:35:32.0343 3388  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\DRIVERS\parport.sys
16:35:32.0421 3388  Parport - ok
16:35:32.0437 3388  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
16:35:32.0531 3388  PartMgr - ok
16:35:32.0546 3388  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
16:35:32.0640 3388  ParVdm - ok
16:35:32.0656 3388  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
16:35:32.0734 3388  PCI - ok
16:35:32.0750 3388  PCIDump - ok
16:35:32.0750 3388  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
16:35:32.0843 3388  PCIIde - ok
16:35:32.0859 3388  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\drivers\Pcmcia.sys
16:35:32.0937 3388  Pcmcia - ok
16:35:32.0953 3388  PDCOMP - ok
16:35:32.0953 3388  PDFRAME - ok
16:35:32.0953 3388  PDRELI - ok
16:35:32.0968 3388  PDRFRAME - ok
16:35:32.0968 3388  perc2 - ok
16:35:32.0968 3388  perc2hib - ok
16:35:33.0000 3388  [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay        C:\WINDOWS\system32\services.exe
16:35:33.0015 3388  PlugPlay - ok
16:35:33.0031 3388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
16:35:33.0109 3388  PolicyAgent - ok
16:35:33.0125 3388  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
16:35:33.0218 3388  PptpMiniport - ok
16:35:33.0234 3388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
16:35:33.0312 3388  ProtectedStorage - ok
16:35:33.0328 3388  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
16:35:33.0421 3388  PSched - ok
16:35:33.0437 3388  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
16:35:33.0531 3388  Ptilink - ok
16:35:33.0531 3388  ql1080 - ok
16:35:33.0531 3388  Ql10wnt - ok
16:35:33.0546 3388  ql12160 - ok
16:35:33.0546 3388  ql1240 - ok
16:35:33.0546 3388  ql1280 - ok
16:35:33.0562 3388  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
16:35:33.0640 3388  RasAcd - ok
16:35:33.0656 3388  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
16:35:33.0750 3388  RasAuto - ok
16:35:33.0765 3388  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
16:35:33.0859 3388  Rasl2tp - ok
16:35:33.0875 3388  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
16:35:33.0968 3388  RasMan - ok
16:35:33.0968 3388  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
16:35:34.0062 3388  RasPppoe - ok
16:35:34.0093 3388  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
16:35:34.0187 3388  Raspti - ok
16:35:34.0203 3388  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
16:35:34.0296 3388  Rdbss - ok
16:35:34.0312 3388  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
16:35:34.0406 3388  RDPCDD - ok
16:35:34.0437 3388  [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr           C:\WINDOWS\system32\DRIVERS\rdpdr.sys
16:35:34.0531 3388  rdpdr - ok
16:35:34.0562 3388  [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
16:35:34.0593 3388  RDPWD - ok
16:35:34.0625 3388  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
16:35:34.0718 3388  RDSessMgr - ok
16:35:34.0750 3388  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
16:35:34.0828 3388  redbook - ok
16:35:34.0859 3388  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
16:35:34.0953 3388  RemoteAccess - ok
16:35:34.0968 3388  [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry  C:\WINDOWS\system32\regsvc.dll
16:35:35.0062 3388  RemoteRegistry - ok
16:35:35.0078 3388  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\system32\locator.exe
16:35:35.0171 3388  RpcLocator - ok
16:35:35.0187 3388  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs           C:\WINDOWS\System32\rpcss.dll
16:35:35.0203 3388  RpcSs - ok
16:35:35.0250 3388  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\system32\rsvp.exe
16:35:35.0328 3388  RSVP - ok
16:35:35.0343 3388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
16:35:35.0437 3388  SamSs - ok
16:35:35.0484 3388  [ 26A05F8833938BD989199E8681B53B86 ] SAVAdminService c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
16:35:35.0500 3388  SAVAdminService - ok
16:35:35.0531 3388  [ 8BCF84AEC77AEB4567116502D105162F ] SAVOnAccessControl C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys
16:35:35.0562 3388  SAVOnAccessControl - ok
16:35:35.0578 3388  [ 8DFE54F1965C3B49C599CBB186C1EE8F ] SAVOnAccessFilter C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys
16:35:35.0593 3388  SAVOnAccessFilter - ok
16:35:35.0609 3388  [ B8A272D4E91EFB366E16BEA0FA42D7EE ] SAVService      c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
16:35:35.0625 3388  SAVService - ok
16:35:35.0656 3388  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
16:35:35.0750 3388  SCardSvr - ok
16:35:35.0781 3388  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
16:35:35.0875 3388  Schedule - ok
16:35:35.0890 3388  [ 4F21774E1259A546B992D9EAACDFD778 ] sdcfilter       C:\WINDOWS\system32\DRIVERS\sdcfilter.sys
16:35:35.0906 3388  sdcfilter - ok
16:35:35.0937 3388  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
16:35:35.0968 3388  Secdrv - ok
16:35:35.0984 3388  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
16:35:36.0062 3388  seclogon - ok
16:35:36.0078 3388  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
16:35:36.0156 3388  SENS - ok
16:35:36.0171 3388  [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
16:35:36.0265 3388  serenum - ok
16:35:36.0265 3388  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\DRIVERS\serial.sys
16:35:36.0359 3388  Serial - ok
16:35:36.0375 3388  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
16:35:36.0468 3388  Sfloppy - ok
16:35:36.0484 3388  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
16:35:36.0578 3388  SharedAccess - ok
16:35:36.0593 3388  [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
16:35:36.0609 3388  ShellHWDetection - ok
16:35:36.0609 3388  Simbad - ok
16:35:36.0625 3388  [ E407A8EEA2FD4BF560C05C0EBF1793B3 ] SKMScan         C:\WINDOWS\system32\DRIVERS\skmscan.sys
16:35:36.0640 3388  SKMScan - ok
16:35:36.0687 3388  [ 8A12AB5DE877B8F97D5EE70E16A5C9B2 ] Sophos AutoUpdate Service c:\Programme\Sophos\AutoUpdate\ALsvc.exe
16:35:36.0703 3388  Sophos AutoUpdate Service - ok
16:35:36.0750 3388  [ BD03374253F79CE7A716A870DC85BD84 ] Sophos Web Control Service c:\Programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
16:35:36.0765 3388  Sophos Web Control Service - ok
16:35:36.0781 3388  [ 3BDF94E0827D13E44249A646F6C0EB7C ] SophosBootDriver C:\WINDOWS\system32\DRIVERS\SophosBootDriver.sys
16:35:36.0812 3388  SophosBootDriver - ok
16:35:36.0812 3388  Sparrow - ok
16:35:36.0828 3388  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
16:35:36.0921 3388  splitter - ok
16:35:36.0953 3388  [ 60784F891563FB1B767F70117FC2428F ] Spooler         C:\WINDOWS\system32\spoolsv.exe
16:35:36.0984 3388  Spooler - ok
16:35:37.0015 3388  [ CDDDEC541BC3C96F91ECB48759673505 ] sptd            C:\WINDOWS\system32\Drivers\sptd.sys
16:35:37.0015 3388  Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: CDDDEC541BC3C96F91ECB48759673505
16:35:37.0015 3388  sptd ( LockedFile.Multi.Generic ) - warning
16:35:37.0015 3388  sptd - detected LockedFile.Multi.Generic (1)
16:35:37.0015 3388  [ 50FA898F8C032796D3B1B9951BB5A90F ] Sr              C:\WINDOWS\system32\DRIVERS\sr.sys
16:35:37.0062 3388  Sr - ok
16:35:37.0093 3388  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\system32\srsvc.dll
16:35:37.0140 3388  srservice - ok
16:35:37.0171 3388  [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
16:35:37.0203 3388  Srv - ok
16:35:37.0234 3388  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
16:35:37.0296 3388  SSDPSRV - ok
16:35:37.0312 3388  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
16:35:37.0406 3388  stisvc - ok
16:35:37.0437 3388  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
16:35:37.0515 3388  swenum - ok
16:35:37.0609 3388  [ B3379659D773BFDD3B631F5FEE2FF2B3 ] swi_service     c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
16:35:37.0781 3388  swi_service - ok
16:35:37.0890 3388  [ BD8684D96EB9436EB145A6E03D693A45 ] swi_update      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe
16:35:37.0953 3388  swi_update - ok
16:35:37.0968 3388  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
16:35:38.0062 3388  swmidi - ok
16:35:38.0078 3388  SwPrv - ok
16:35:38.0078 3388  symc810 - ok
16:35:38.0078 3388  symc8xx - ok
16:35:38.0093 3388  sym_hi - ok
16:35:38.0093 3388  sym_u3 - ok
16:35:38.0109 3388  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
16:35:38.0187 3388  sysaudio - ok
16:35:38.0203 3388  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
16:35:38.0296 3388  SysmonLog - ok
16:35:38.0328 3388  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
16:35:38.0437 3388  TapiSrv - ok
16:35:38.0468 3388  [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
16:35:38.0484 3388  Tcpip - ok
16:35:38.0500 3388  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
16:35:38.0593 3388  TDPIPE - ok
16:35:38.0593 3388  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
16:35:38.0687 3388  TDTCP - ok
16:35:38.0703 3388  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
16:35:38.0796 3388  TermDD - ok
16:35:38.0828 3388  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
16:35:38.0937 3388  TermService - ok
16:35:38.0937 3388  [ 2DB7D303C36DDD055215052F118E8E75 ] Themes          C:\WINDOWS\System32\shsvcs.dll
16:35:38.0953 3388  Themes - ok
16:35:38.0968 3388  [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr         C:\WINDOWS\system32\tlntsvr.exe
16:35:39.0015 3388  TlntSvr - ok
16:35:39.0015 3388  TosIde - ok
16:35:39.0031 3388  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
16:35:39.0109 3388  TrkWks - ok
16:35:39.0171 3388  [ 7D133CB3A08BDFAE656A6580D4A6ED14 ] TuneUp.UtilitiesSvc C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe
16:35:39.0250 3388  TuneUp.UtilitiesSvc - ok
16:35:39.0265 3388  [ 94C4CD2D19B8C4137A46261F229FEC24 ] TuneUpUtilitiesDrv C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys
16:35:39.0281 3388  TuneUpUtilitiesDrv - ok
16:35:39.0296 3388  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
16:35:39.0390 3388  Udfs - ok
16:35:39.0390 3388  ultra - ok
16:35:39.0421 3388  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
16:35:39.0515 3388  Update - ok
16:35:39.0531 3388  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
16:35:39.0593 3388  upnphost - ok
16:35:39.0609 3388  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
16:35:39.0703 3388  UPS - ok
16:35:39.0718 3388  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
16:35:39.0812 3388  usbehci - ok
16:35:39.0828 3388  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
16:35:39.0906 3388  usbhub - ok
16:35:39.0921 3388  [ A717C8721046828520C9EDF31288FC00 ] usbprint        C:\WINDOWS\system32\DRIVERS\usbprint.sys
16:35:40.0015 3388  usbprint - ok
16:35:40.0031 3388  [ A32426D9B14A089EAA1D922E0C5801A9 ] usbstor         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:35:40.0125 3388  usbstor - ok
16:35:40.0140 3388  [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
16:35:40.0234 3388  usbuhci - ok
16:35:40.0250 3388  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
16:35:40.0328 3388  VgaSave - ok
16:35:40.0343 3388  ViaIde - ok
16:35:40.0343 3388  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
16:35:40.0421 3388  VolSnap - ok
16:35:40.0453 3388  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
16:35:40.0500 3388  VSS - ok
16:35:40.0500 3388  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\system32\w32time.dll
16:35:40.0593 3388  W32Time - ok
16:35:40.0609 3388  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
16:35:40.0703 3388  Wanarp - ok
16:35:40.0718 3388  [ 46A247F6617526AFE38B6F12F5512120 ] wceusbsh        C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
16:35:40.0750 3388  wceusbsh - ok
16:35:40.0750 3388  WDICA - ok
16:35:40.0765 3388  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
16:35:40.0859 3388  wdmaud - ok
16:35:40.0890 3388  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
16:35:40.0984 3388  WebClient - ok
16:35:41.0015 3388  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
16:35:41.0093 3388  winmgmt - ok
16:35:41.0125 3388  [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN        C:\WINDOWS\system32\mspmsnsv.dll
16:35:41.0171 3388  WmdmPmSN - ok
16:35:41.0187 3388  [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi             C:\WINDOWS\System32\advapi32.dll
16:35:41.0234 3388  Wmi - ok
16:35:41.0265 3388  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
16:35:41.0343 3388  WmiApSrv - ok
16:35:41.0406 3388  [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc   C:\Programme\Windows Media Player\WMPNetwk.exe
16:35:41.0437 3388  WMPNetworkSvc - ok
16:35:41.0468 3388  [ CF4DEF1BF66F06964DC0D91844239104 ] WpdUsb          C:\WINDOWS\system32\DRIVERS\wpdusb.sys
16:35:41.0468 3388  WpdUsb - ok
16:35:41.0484 3388  [ 6ABE6E225ADB5A751622A9CC3BC19CE8 ] WS2IFSL         C:\WINDOWS\System32\drivers\ws2ifsl.sys
16:35:41.0578 3388  WS2IFSL - ok
16:35:41.0593 3388  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
16:35:41.0687 3388  wscsvc - ok
16:35:41.0703 3388  [ D29AD7484B98279ED21877DE051A180F ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
16:35:41.0718 3388  wuauserv - ok
16:35:41.0734 3388  [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf          C:\WINDOWS\system32\DRIVERS\WudfPf.sys
16:35:41.0765 3388  WudfPf - ok
16:35:41.0765 3388  [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd          C:\WINDOWS\system32\DRIVERS\wudfrd.sys
16:35:41.0781 3388  WudfRd - ok
16:35:41.0796 3388  [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc         C:\WINDOWS\System32\WUDFSvc.dll
16:35:41.0796 3388  WudfSvc - ok
16:35:41.0828 3388  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
16:35:41.0937 3388  WZCSVC - ok
16:35:41.0937 3388  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
16:35:42.0046 3388  xmlprov - ok
16:35:42.0046 3388  ================ Scan global ===============================
16:35:42.0062 3388  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
16:35:42.0093 3388  [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
16:35:42.0109 3388  [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
16:35:42.0109 3388  [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
16:35:42.0125 3388  [Global] - ok
16:35:42.0125 3388  ================ Scan MBR ==================================
16:35:42.0125 3388  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
16:35:42.0343 3388  \Device\Harddisk0\DR0 - ok
16:35:42.0343 3388  ================ Scan VBR ==================================
16:35:42.0343 3388  [ CC6A9EB46E4FC421E5D75592E0BEF0A7 ] \Device\Harddisk0\DR0\Partition1
16:35:42.0343 3388  \Device\Harddisk0\DR0\Partition1 - ok
16:35:42.0375 3388  [ 46F91D5EB7C0B93F3C600EE34471028E ] \Device\Harddisk0\DR0\Partition2
16:35:42.0375 3388  \Device\Harddisk0\DR0\Partition2 - ok
16:35:42.0375 3388  ============================================================
16:35:42.0375 3388  Scan finished
16:35:42.0375 3388  ============================================================
16:35:42.0484 0860  Detected object count: 8
16:35:42.0484 0860  Actual detected object count: 8
16:36:30.0500 0860  AtcL002 ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860  AtcL002 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0500 0860  IDriverT ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860  IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0500 0860  igfx ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860  igfx ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0515 0860  MBAMProtector ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860  MBAMProtector ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0515 0860  MBAMScheduler ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860  MBAMScheduler ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0515 0860  MBAMService ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860  MBAMService ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0515 0860  NcpSec ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860  NcpSec ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:36:30.0515 0860  sptd ( LockedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860  sptd ( LockedFile.Multi.Generic ) - User select action: Skip
         
Vielen Dank!

Alt 08.07.2013, 14:40   #8
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2013, 15:07   #9
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Logfile von Combofix:

Code:
ATTFilter
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-07-08.02 - Administrator 08.07.2013  17:00:17.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.179 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Disabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
FW: LANCOM Advanced VPN Client *Disabled* {33F684F9-95EF-4FC3-9196-012CF0A4D310}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-06-08 bis 2013-07-08  ))))))))))))))))))))))))))))))
.
.
2013-07-08 19:05 . 2013-07-08 13:17	--------	d-----w-	C:\_OTL
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\system32\xircom
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\windows\srchasst
2013-07-08 14:16 . 2013-07-08 14:16	--------	d-----w-	c:\programme\microsoft frontpage
2013-06-30 09:10 . 2013-06-30 09:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2013-06-30 09:07 . 2013-06-30 09:07	--------	d--h--w-	c:\windows\PIF
2013-06-30 09:06 . 2013-06-30 09:06	--------	d-----w-	c:\programme\AC3Filter
2013-06-30 09:06 . 2012-06-17 20:10	965120	----a-w-	c:\windows\system32\ac3filter.acm
2013-06-12 15:41 . 2013-06-12 16:41	9089416	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 16:41 . 2012-04-01 06:27	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-06-12 16:41 . 2011-05-29 06:16	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-17 20:30 . 2008-05-31 11:13	78336	----a-w-	c:\windows\system32\ieencode.dll
2013-05-17 20:30 . 2008-03-01 12:33	841216	----a-w-	c:\windows\system32\wininet.dll
2013-05-17 20:30 . 2008-03-01 12:33	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2013-05-17 20:30 . 2008-05-31 11:13	17408	----a-w-	c:\windows\system32\corpol.dll
2013-05-03 05:39 . 2008-04-14 07:29	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-05-03 05:39 . 2008-04-14 05:30	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-04-12 14:00 . 2008-04-14 07:23	1876480	----a-w-	c:\windows\system32\win32k.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-05-15 . 3122DAF86B33ED8AC4662D07593025D7 . 501760 . . [1.0626.6001.18000] . . c:\windows\system32\usp10.dll
[7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\system32\dllcache\usp10.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2012-08-09 900160]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"NcpBudgetGui"="c:\programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" [2012-05-10 1001472]
"NcpPopup"="c:\programme\LANCOM\Advanced VPN Client\ncppopup.exe" [2012-03-20 1011280]
"NcpMonitor"="c:\programme\LANCOM\Advanced VPN Client\ncpmon.exe" [2012-07-20 6673528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2013-05-17 124928]
"IE7"="advpack.dll" [2013-05-17 124928]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" -autorun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"=
"c:\\Programme\\LANCOM\\Advanced VPN Client\\NCPMON.exe"=
"c:\\Programme\\Opera\\opera.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.12.2010 14:09 691696]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [30.12.2010 15:27 155392]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [30.12.2010 15:27 24832]
R1 SKMScan;SKMScan;c:\windows\system32\drivers\skmscan.sys [30.07.2012 20:50 31736]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [05.04.2012 13:49 71024]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [05.04.2013 18:29 398184]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [05.04.2013 18:29 682344]
R2 ncpclcfg;NCP Client Configuration Support;c:\programme\LANCOM\Advanced VPN Client\ncpclcfg.exe [13.11.2012 17:15 139896]
R2 ncprwsnt;NCP Client VPN und Dialing Service;c:\programme\LANCOM\Advanced VPN Client\ncprwsnt.exe [13.11.2012 17:15 1304184]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.12.2012 21:16 216640]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [26.07.2012 17:54 139840]
R2 Sophos Web Control Service;Sophos Web Control Service;c:\programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [30.07.2012 20:50 357400]
R2 swi_service;Sophos Web Intelligence Service;c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [04.12.2012 21:16 2869824]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05.04.2013 18:29 21104]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088]
S2 NcpSec;NCP Client PKI Support;c:\programme\LANCOM\Advanced VPN Client\NCPSEC.EXE [13.11.2012 17:15 119808]
S2 swi_update;Sophos Web Intelligence Update;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe [30.07.2012 20:54 1459264]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02.01.2011 14:09 1684736]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.318\McCHSvc.exe [05.02.2013 17:48 235216]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [13.11.2012 17:15 86768]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [30.07.2012 20:50 33696]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [30.12.2010 15:27 14976]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 04848308
*NewlyCreated* - SWI_UPDATE
*NewlyCreated* - WS2IFSL
*NewlyCreated* - WUAUSERV
*Deregistered* - 04848308
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-29 17:10	1165776	----a-w-	c:\programme\Google\Chrome\Application\27.0.1453.116\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 16:41]
.
2013-07-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-12 17:50]
.
2013-07-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-12 17:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.modell-hohenlohe.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-08 17:05
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2348)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2013-07-08  17:06:32
ComboFix-quarantined-files.txt  2013-07-08 15:06
ComboFix2.txt  2013-07-08 14:18
.
Vor Suchlauf: 4.531.662.848 Bytes frei
Nach Suchlauf: 4.524.388.352 Bytes frei
.
- - End Of File - - B566EFC7C62FB65D3026854BE079B6B0
         
--- --- --- 72B8CE41AF0DE751C946802B3ED844B4

Alt 08.07.2013, 15:12   #10
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2013, 16:06   #11
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,

ok, ist nun durchgelaufen. Hier das Logfile:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.08.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Administrator :: SHOCKWAVE [Administrator]

08.07.2013 17:29:58
mbam-log-2013-07-08 (17-29-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 276041
Laufzeit: 25 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCR\CLSID\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\*\shellex\ContextMenuHandlers\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433 (Trojan.Agent.TPL) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Grüße,
Stefan

Alt 08.07.2013, 16:54   #12
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2013, 17:23   #13
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,

ok ich hoffe das passt soweit was ich gemacht habe...

Code:
ATTFilter
7-Zip 4.65		26.12.2010	notwendig	
AC3Filter 2.5b	Alexander Vigovsky	30.06.2013		2.5b	notwendig
Adobe Flash Player	Microsoft Corporation	26.12.2010		1	notwendig
Adobe Flash Player 11 ActiveX	Adobe Systems Incorporated	29.06.2013		11.7.700.224	unbekannt
Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	29.06.2013		11.7.700.224	unbekannt
Adobe Reader X (10.1.6) - Deutsch	Adobe Systems Incorporated	05.04.2013	179,00MB	10.1.6	notwendig
Allgemeine Runtime Dateien	Microsoft Corporation	26.12.2010		1	unbekannt
Atheros Communications Inc.(R) L2 Fast Ethernet Driver	Atheros Communications Inc.	26.12.2010		2.5.7.7	unbekannt
Canon Inkjet Printer Driver Add-On Module		30.12.2010	notwendig	
Canon iP4200		08.07.2013	notwendig	
Canon Utilities My Printer		30.12.2010		
CCleaner	Piriform	19.06.2013		4.03	unbekannt
CD-LabelPrint		30.12.2010	notwendig	
DirectX 9.0c Zusatzdateien	Microsoft Corporation	26.12.2010		1
Google Chrome	Google Inc.	12.11.2012		27.0.1453.116	unnötig
Haufe Formular-Manager	Haufe-Lexware GmbH & Co. KG	17.02.2013	130,00MB	12.02.00.0002	notwendig
Haufe iDesk-Browser	Haufe-Lexware GmbH & Co. KG	17.02.2013	28,93MB	12.02.01.0005	notwendig	
Haufe iDesk-Service	Haufe-Lexware GmbH & Co. KG	17.02.2013	137,00MB	12.03.15.8829	notwendig
Haufe Unterweisungsfolien Arbeitsschutz	Haufe-Lexware GmbH & Co. KG	17.02.2013	1.042,00MB	10.2.0.0	notwendig
ImgBurn	LIGHTNING UK!	24.04.2011		2.5.5.0		notwendig
Intel(R) Graphics Media Accelerator Driver	Intel Corporation	08.07.2013	unbekannt	
Internet Explorer 7		12.06.2013	unnötig	
Java(TM) 6 Update 32	Oracle	17.02.2013	97,84MB	6.0.320	unbekannt
Java(TM) 6 Update 6	Sun Microsystems, Inc.	26.12.2010	137,00MB	1.6.0.60	unbekannt
LANCOM Advanced VPN Client	LANCOM Systems GmbH	15.11.2012		2.30 Build 186	unbekannt
MAGIX Web Designer 7 Premium Download-Version	MAGIX AG	16.10.2011		7.0.4.16490	unnötig
Malwarebytes Anti-Malware Version 1.75.0.1300	Malwarebytes Corporation	08.07.2013		1.75.0.1300	notwendig
McAfee Security Scan Plus	McAfee, Inc.	27.04.2013		3.0.318.3	unbekannt
MEDION-Navigator		15.05.2011		4.20.000	unnötig
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU	Microsoft Corporation	26.12.2010	6,16MB	2.1.21022	unbekannt
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	14.05.2013	184,00MB	2.2.30729	unbekannt
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	10.01.2013	253,00MB	3.2.30729	unbekannt
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	10.01.2013	unbekannt	
Microsoft ActiveSync	Microsoft Corporation	15.05.2011	18,42MB	4.5.5096.0	unbekannt
Microsoft Office Enterprise 2007	Microsoft Corporation	26.12.2010		12.0.4518.1014	notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	29.08.2011	10,28MB	9.0.30729	unbekannt
MOBackup - Datensicherung für Outlook (Vollversion)	Heiko Schröder	26.12.2010		6.0	notwendig
MSXML 4.0 SP3 Parser	Microsoft Corporation	16.10.2011	2,87MB	4.30.2100.0	unbekannt
MSXML 4.0 SP3 Parser (KB2721691)	Microsoft Corporation	11.07.2012	2,99MB	4.30.2114.0	unbekannt
MSXML 4.0 SP3 Parser (KB2758694)	Microsoft Corporation	10.01.2013	3,01MB	4.30.2117.0	unbekannt
MSXML 4.0 SP3 Parser (KB973685)	Microsoft Corporation	17.10.2011	2,99MB	4.30.2107.0	unbekannt
NAVIGON Fresh 3.3.2	NAVIGON	29.08.2011		3.3.2	unnötig
Opera 12.16	Opera Software ASA	07.07.2013		12.16.1860	notwendig
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	02.01.2011		5.10.0.5911	notwendig
Solid Edge V20	UGS	26.01.2011	1.330,00MB	20.00.0096	notwendig
Sophos Anti-Virus	Sophos Limited	12.06.2013	46,33MB	10.0.10		notwendig
Sophos AutoUpdate	Sophos Limited	09.08.2012	13,63MB	2.7.4.317	notwendig
TuneUp Utilities 2013	TuneUp Software	01.04.2013		13.0.2020.4	notwendig
UnderCoverXP 1.23	Wicked & Wild Inc.	04.11.2012	notwendig
         

Alt 08.07.2013, 17:27   #14
markusg
/// Malware-holic
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Java: alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
MAGIX
McAfee
MEDION
NAVIGON
TuneUp : finger weg von solchem unsinn, einige Funktionen können dem PC schaden, der Rest bringt keine messbaren Ergebnisse.

Öffne CCleaner, analysieren,s tarten, PC neustarten
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2013, 17:35   #15
sheder55
 
GVU Trojaner, abgesicherter Modus nicht möglich - Standard

GVU Trojaner, abgesicherter Modus nicht möglich



Hi,

vielen Dank dafür. Ich werde das gleich morgen früh in Angriff nehmen und dann die Ergebnisse posten, heute komme ich leider nicht mehr dazu.


An dieser Stelle mal ein riesen Dankeschön! Es ist wirklich eine klasse Arbeit die ihr hier leistet - das ist mir dann auch ne Spende wert!

Grüße,
Stefan

Antwort

Themen zu GVU Trojaner, abgesicherter Modus nicht möglich
.dll, administrator, adobe, adobe flash player, desktop, einstellungen, explorer, firefox, flash player, format, homepage, logfile, malwarebytes, nicht möglich, plug-in, problem, realtek, registry, security, software, temp, trojan.agent.rdn, trojan.agent.tpl, trojaner, windows




Ähnliche Themen: GVU Trojaner, abgesicherter Modus nicht möglich


  1. gvu trojaner abgesicherter modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 23.03.2015 (1)
  2. GVU Trojaner, abgesicherter Modus nicht Möglich, Windows 7 (x64)
    Plagegeister aller Art und deren Bekämpfung - 26.11.2013 (10)
  3. GVU Trojaner - abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 22.10.2013 (7)
  4. GVU Trojaner Win 7, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (1)
  5. Mal wieder der GVU-Trojaner, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 25.07.2013 (14)
  6. GVU Trojaner, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (11)
  7. GVU Trojaner – Booten von CD und USB nicht möglich, abgesicherter Modus nur mit Eingabeaufforderung möglich
    Log-Analyse und Auswertung - 06.07.2013 (39)
  8. gvu trojaner abgesicherter modus nicht möglich
    Log-Analyse und Auswertung - 29.06.2013 (9)
  9. GVU Trojaner, abgesicherter modus nicht möglich Thread 2
    Plagegeister aller Art und deren Bekämpfung - 08.06.2013 (36)
  10. GVU Trojaner (abgesicherter modus nicht möglich)
    Log-Analyse und Auswertung - 01.04.2013 (19)
  11. GVU Trojaner abgesicherter Modus nicht möglich
    Log-Analyse und Auswertung - 17.03.2013 (2)
  12. GVU Trojaner 100€, Webcam, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (2)
  13. GVU Trojaner abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (22)
  14. GVU Trojaner - Abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 25.12.2012 (2)
  15. GVU Trojaner mit Webcam...abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (33)
  16. Bundespolizei Trojaner, abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (1)
  17. Trojaner Bundespolizei-abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (5)

Zum Thema GVU Trojaner, abgesicherter Modus nicht möglich - Hallo zusammen! ich habe mit meinem Rechner ein Problem mit dem bekannten GVU Trojaner. Betriebssystem ist Windows XP. Erste Versuche über den abgesicherten Modus erwiesen sich als nutzlos, da der - GVU Trojaner, abgesicherter Modus nicht möglich...
Archiv
Du betrachtest: GVU Trojaner, abgesicherter Modus nicht möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.