Trojaner-Board - Outlook öffnet sich statt Taschenrechner, Probleme beim E-Mail Empfang

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Outlook öffnet sich statt Taschenrechner, Probleme beim E-Mail Empfang (https://www.trojaner-board.de/135471-outlook-oeffnet-statt-taschenrechner-probleme-beim-e-mail-empfang.html)

Outlook öffnet sich statt Taschenrechner, Probleme beim E-Mail Empfang

Hallo zusammen,

ich bin neu hier und habe auch nicht wirklich Ahnung von Computern, versuche aber jemandem zu helfen, der noch weniger Ahnung hat :rofl: . Das Problem ist Folgendes:

Wenn man auf der Tastatur z.B. die Kurztasten für Lautstärke, Taschenrechner o.ä. verwendet öffnet sich einfach Outlook. Zudem ist bei einer der eingestellten E-Mail Adressen immer eine Fehlermeldung beim Empfangen der Nachrichten (unbekannter Fehler 0x800CCC0B). :killpc:

Ich habe nun HijackThis heruntergeladen und in falkoba umbenannt, wie schonmal in einem Thema hier gelesen. Danach habe ich ein Lodgile erstellen lassen und hier das Ergebnis:
HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 08:41:32, on 24.05.2013

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16483)

Boot mode: Normal
 

Running processes:

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Lenovo\Lenovo Mouse Suite\ICO.exe

C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe

C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Lenovo\Lenovo Mouse Suite\FSRremoS.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Winamp\winampa.exe

C:\Windows\System32\StikyNot.exe

C:\Program Files\ThinkPad\Utilities\SCHTASK.EXE

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\Lenovo\Lenovo Mouse Suite\Pelmiced.exe

C:\Program Files\Common Files\Java\Java Update\jucheck.exe

C:\Program Files\Avira\AntiVir Desktop\avcenter.exe

C:\Users\xxx\Downloads\Falkoba.com.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.fbdownloader.com/?channel=sfge202fbdgy14

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: (no name) - {213c8ed6-1d78-4d8f-8729-25006aa86a76} - (no file)

O2 - BHO: FBDownloader - {553318DA-D010-469E-84B1-496563CAE1BF} - C:\Users\***\AppData\Local\fbDownloader\Extensions\FBDownloader.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

O4 - HKLM\..\Run: [IMSS] "C:\Program Files\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe"

O4 - HKLM\..\Run: [Daemon for Mouse Suite] C:\Program Files\Lenovo\Lenovo Mouse Suite\ICO.EXE

O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe

O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor

O4 - HKLM\..\Run: [Power Manager Power Agenda] C:\PROGRA~1\ThinkPad\UTILIT~1\DPMHost.exe

O4 - HKLM\..\Run: [Message Center Plus] C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe /start

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Family Tree Builder Update] L:\MyHeritage\Bin\FTBCheckUpdates.exe

O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [DataMgr] "C:\Users\***\AppData\Roaming\DataMgr\DataMgr.exe"

O4 - HKCU\..\Run: [SCheck] "C:\Users\***\AppData\Roaming\SCheck\SCheck.exe" check 

O4 - HKCU\..\Run: [Intermediate] "C:\Users\xxx\AppData\Roaming\Intermediate\Intermediate.exe"

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

O4 - Startup: OpenOffice.org 3.4.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200

O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MIF5BA~1\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MIF5BA~1\Office14\EXCEL.EXE/3000

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: FBDownloader - {B5FC24D2-2DB1-4603-88BD-6E2E551138F7} - C:\Users\***\AppData\Local\fbDownloader\Extensions\FBDownloader.dll (HKCU)

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local

O17 - HKLM\Software\..\Telephony: DomainName = ***.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{E733DB1C-B022-460B-A403-D101CF9DB3BD}: NameServer = xxx

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.local

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Avira Email Schutz (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira Browser-Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Session Launcher Service (PelService) - Unknown owner - C:\Program Files\Lenovo\Lenovo Mouse Suite\PelService.exe

O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\Program Files\Lenovo\System Update\SUService.exe

O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
 

--

End of file - 10959 bytes

--- --- ---
Kann mir jemand sagen was da los ist?

Vielen Dank im Voraus.

KCa

Hallo und :hallo:

Lesestoff:
Bitte keine Hijackthis-Logfiles posten!!!

Zitat:

Zitat von Larusso (Beitrag 614538)

Uns ist klar, dass HijackThis wahrscheinlich eines der bekanntesten Analysetools ist.

Jedoch scannt es nur noch sehr oberflächlich und gibt uns für eine genaue Analyse eures Systems zu wenig Informationen.

Darum, bitte keine HijackThis Logfiles posten, sondern folgendes lesen und abarbeiten.

http://www.trojaner-board.de/69886-a...-beachten.html

Nur mit diesen Informationen können wir euch helfen.

Danke :daumenhoc

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

... das ist das Ergebnis des Scans von heute Vormittag:

Code:

Avira Professional Security

Erstellungsdatum der Reportdatei: Freitag, 24. Mai 2013  09:06
 
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : ***

Seriennummer   : ***

Plattform      : Windows 7 Professional

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ***
 

Versionsinformationen:

BUILD.DAT      : 13.0.0.3640    57470 Bytes  18.04.2013 13:31:00

AVSCAN.EXE     : 13.6.0.1262   636984 Bytes  06.05.2013 08:05:26

AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  28.11.2012 14:09:15

LUKE.DLL       : 13.6.0.1262    65080 Bytes  06.05.2013 08:05:46

AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  06.05.2013 08:05:27

AVREG.DLL      : 13.6.0.1262   247864 Bytes  06.05.2013 08:05:26

avlode.dll     : 13.6.2.1262   432184 Bytes  06.05.2013 08:05:22

avlode.rdf     : 13.0.1.12      25921 Bytes  16.05.2013 08:21:43

VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 10:25:59

VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 10:08:59

VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 10:08:59

VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 10:08:59

VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 10:08:59

VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 10:08:59

VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 10:08:59

VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 10:08:59

VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 10:08:59

VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 10:09:01

VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 10:09:01

VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 10:09:01

VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 10:09:01

VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 10:09:01

VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 06:09:28

VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 09:34:52

VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 06:05:08

VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 05:59:40

VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 05:58:41

VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 06:27:43

VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 06:27:44

VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 06:27:44

VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 09:27:22

VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 06:30:25

VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 06:09:15

VBASE025.VDF   : 7.11.78.207   147456 Bytes  16.05.2013 06:21:48

VBASE026.VDF   : 7.11.79.17    198656 Bytes  17.05.2013 06:25:45

VBASE027.VDF   : 7.11.79.194   659968 Bytes  23.05.2013 09:06:06

VBASE028.VDF   : 7.11.79.195     2048 Bytes  23.05.2013 09:06:06

VBASE029.VDF   : 7.11.79.196     2048 Bytes  23.05.2013 09:06:07

VBASE030.VDF   : 7.11.79.197     2048 Bytes  23.05.2013 09:06:07

VBASE031.VDF   : 7.11.79.234   185344 Bytes  24.05.2013 06:00:23

Engineversion  : 8.2.12.48 

AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55

AESCRIPT.DLL   : 8.1.4.118     487805 Bytes  23.05.2013 13:06:26

AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 13:12:20

AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06

AERDL.DLL      : 8.2.0.88      643444 Bytes  14.01.2013 15:52:39

AEPACK.DLL     : 8.3.2.12      754040 Bytes  08.05.2013 08:58:45

AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 11:01:49

AEHEUR.DLL     : 8.1.4.378    5910905 Bytes  23.05.2013 13:06:26

AEHELP.DLL     : 8.1.25.10     258425 Bytes  08.05.2013 08:58:40

AEGEN.DLL      : 8.1.7.4       442741 Bytes  08.05.2013 08:58:40

AEEXP.DLL      : 8.4.0.32      201078 Bytes  23.05.2013 13:06:27

AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55

AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 11:06:47

AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38

AVWINLL.DLL    : 13.6.0.480     26480 Bytes  07.02.2013 11:13:43

AVPREF.DLL     : 13.6.0.480     51056 Bytes  07.02.2013 11:13:53

AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:01:06

AVARKT.DLL     : 13.6.0.1262   258104 Bytes  06.05.2013 08:05:18

AVEVTLOG.DLL   : 13.6.0.1262   164920 Bytes  06.05.2013 08:05:20

SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:44

AVSMTP.DLL     : 13.6.0.480     63344 Bytes  07.02.2013 11:13:55

NETNT.DLL      : 13.6.0.480     16240 Bytes  07.02.2013 11:14:16

RCIMAGE.DLL    : 13.4.0.360   5042976 Bytes  28.11.2012 14:09:45

RCTEXT.DLL     : 13.6.0.976     69344 Bytes  27.03.2013 12:11:43
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, L:, Q:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Freitag, 24. Mai 2013  09:06
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD6

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'L:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'Q:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Versteckter Treiber

  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'DllHost.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchProtocolHost.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'udceng.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'EXCEL.EXE' - '74' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbam.exe' - '97' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '119' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmplayer.exe' - '117' Modul(e) wurden durchsucht

Durchsuche Prozess 'OSPPSVC.EXE' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'OUTLOOK.EXE' - '158' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '119' Modul(e) wurden durchsucht

Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUService.exe' - '65' Modul(e) wurden durchsucht

Durchsuche Prozess 'UNS.exe' - '61' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnetwk.exe' - '77' Modul(e) wurden durchsucht

Durchsuche Prozess 'jucheck.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.bin' - '91' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.exe' - '18' Modul(e) wurden durchsucht

Durchsuche Prozess 'SCHTASK.EXE' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'StikyNot.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'winampa.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '84' Modul(e) wurden durchsucht

Durchsuche Prozess 'FSRremoS.EXE' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'BJMYPRT.EXE' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'MCPLaunch.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'IAStorIcon.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'ICO.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'RtHDVCpl.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '176' Modul(e) wurden durchsucht

Durchsuche Prozess 'Dwm.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamgui.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'AVWEBGRD.EXE' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'avmailc.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'ULCDRSvr.exe' - '8' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'StarWindServiceAE.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'PelElvDm.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'PWMDBSVC.EXE' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'PelService.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMSAccessU.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamservice.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamscheduler.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'LMS.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '98' Modul(e) wurden durchsucht

Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '98' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '110' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '2584' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Windows7_OS>

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\59c0f756-3dad7adc

    [0] Archivtyp: ZIP

    --> a.class

        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423

        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

C:\Users\***\Downloads\Falkoba.com.exe

  [FUND]      Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)

Beginne mit der Suche in 'L:\' <INTENSO>

Beginne mit der Suche in 'Q:\' <Lenovo_Recovery>
 

Beginne mit der Desinfektion:

C:\Users\***\Downloads\Falkoba.com.exe

  [FUND]      Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)

  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [HINWEIS]   Die Datei existiert nicht!

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\59c0f756-3dad7adc

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6cce4c.qua' verschoben!
 
 

Ende des Suchlaufs: Freitag, 24. Mai 2013  12:28

Benötigte Zeit:  3:21:50 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  28754 Verzeichnisse wurden überprüft

 848332 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 848330 Dateien ohne Befall

   8792 Archive wurden durchsucht

      1 Warnungen

      3 Hinweise

 718792 Objekte wurden beim Rootkitscan durchsucht

      1 Versteckte Objekte wurden gefunden

Malwarebytes läuft auch schon seit heute Morgen - komme im Moment nicht einen Bericht ran. :balla:

Gab es davor iwelche Fund oder sind das die bisher ersten?

Das war der Fund von Malwarebytes am 21.05.2013

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.05.21.04
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

*** :: *** [limitiert]
 

Schutz: Aktiviert
 

21.05.2013 15:52:50

mbam-log-2013-05-21 (15-52-50).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 258817

Laufzeit: 7 Minute(n), 38 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 9

HKCR\CLSID\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\TypeLib\{3BF3DED5-0FC8-4207-AC09-AA7B5AF4E408} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Interface\{1B97A696-5576-43AC-A73B-E1D2C78F21E8} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\PricePeep.PricePeepBho.1 (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\PricePeep.PricePeepBho (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Care Antivirus (Trojan.FakeAlert.SSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|A50252427C4266550000A501AD4B70F7 (Trojan.FakeAlert.SSGen) -> Daten: C:\ProgramData\A50252427C4266550000A501AD4B70F7\A50252427C4266550000A501AD4B70F7.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 4

C:\Program Files\PricePeep\pricepeep.dll (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Windows\Temp\pricepeep_90001_0101.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Windows\Temp\PricePeepInstaller-BetterInstaller.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\ProgramData\A50252427C4266550000A501AD4B70F7\A50252427C4266550000A501AD4B70F7.exe (Trojan.FakeAlert.SSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Scan von heute Morgen soeben beendet - ohne Befund

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Erstmal eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in CODE-Tags in den Thread.

das ist das einzige Ergebnis....

Code:

OTL logfile created on: 24.05.2013 13:17:43 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Downloads

 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,74 Gb Total Physical Memory | 0,78 Gb Available Physical Memory | 44,60% Memory free

3,48 Gb Paging File | 2,08 Gb Available in Paging File | 59,69% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 287,15 Gb Total Space | 171,53 Gb Free Space | 59,74% Space Free | Partition Type: NTFS

Drive Q: | 9,77 Gb Total Space | 4,37 Gb Free Space | 44,72% Space Free | Partition Type: NTFS

 

Computer Name: ***| User Name: *** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Users\***\Downloads\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)

PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)

PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)

PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)

PRC - C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE (Microsoft Corporation)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)

PRC - C:\Programme\Common Files\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)

PRC - C:\Windows\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()

PRC - C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)

PRC - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe (StarWind Software)

PRC - C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)

PRC - C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)

PRC - C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation)

PRC - C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)

PRC - C:\Programme\Lenovo\Lenovo Mouse Suite\PelService.exe ()

PRC - C:\Programme\Lenovo\Lenovo Mouse Suite\PelElvDm.exe ()

PRC - C:\Programme\Lenovo\Lenovo Mouse Suite\ICO.exe (Primax Electronics Ltd.)

PRC - C:\Programme\ThinkPad\Utilities\SCHTASK.EXE (Lenovo Group Limited)

PRC - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe (Lenovo)

PRC - c:\Programme\Lenovo\System Update\SUService.exe (Lenovo Group Limited)

PRC - C:\Programme\Common Files\Lenovo\tvt_reg_monitor_svc.exe (Lenovo Group Limited)

PRC - C:\Programme\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)

PRC - C:\Windows\System32\StikyNot.exe (Microsoft Corporation)

PRC - C:\Programme\Lenovo\Message Center Plus\MCPLaunch.exe ()

PRC - C:\Programme\Lenovo\Lenovo Mouse Suite\FSRremoS.EXE ()

PRC - C:\Programme\Common Files\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\ppgooglenaclpluginchrome.dll ()

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\PepperFlash\pepflashplayer.dll ()

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\pdf.dll ()

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\libglesv2.dll ()

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\libegl.dll ()

MOD - C:\Programme\Google\Chrome\Application\27.0.1453.94\ffmpegsumo.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\30e3a21202000677d0a9270572251477\System.Windows.Forms.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\716959df79685a1eae0fc14275a32b0f\WindowsBase.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\764f15e86c82662e977bd418bd6318c1\System.Configuration.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\90b89f6e8032310e9ac72a309fd49e83\System.Runtime.Remoting.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eead6629e384a5b69f9ae35284b7eeed\System.Drawing.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\f687c43e9fdec031988b33ae722c4613\System.Xml.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\369f8bdca364e2b4936d18dea582912c\System.ni.dll ()

MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7150b9136fad5b79e88f6c7f9d3d2c39\mscorlib.ni.dll ()

MOD - C:\Programme\OpenOffice.org 3\program\libxml2.dll ()

MOD - C:\Programme\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF ()

MOD - C:\Programme\Microsoft Office\Office14\ADDINS\UmOutlookAddin.dll ()

MOD - C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ()

MOD - C:\Programme\ThinkPad\Utilities\GR\PWMRT32V.DLL ()

MOD - C:\Programme\Lenovo\Message Center Plus\MCPLaunch.exe ()

MOD - C:\Programme\Lenovo\Lenovo Mouse Suite\FSRremoS.EXE ()

 

 
 ========== Services (SafeList) ==========

 

SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)

SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG)

SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)

SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()

SRV - (osppsvc) -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)

SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (StarWindServiceAE) -- C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe (StarWind Software)

SRV - (UNS) -- C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)

SRV - (LMS) -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)

SRV - (IAStorDataMgrSvc) -- C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation)

SRV - (PelService) -- C:\Programme\Lenovo\Lenovo Mouse Suite\PelService.exe ()

SRV - (Power Manager DBC Service) -- C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe (Lenovo)

SRV - (SUService) -- c:\Programme\Lenovo\System Update\SUService.exe (Lenovo Group Limited)

SRV - (ThinkVantage Registry Monitor Service) -- C:\Programme\Common Files\Lenovo\tvt_reg_monitor_svc.exe (Lenovo Group Limited)

SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)

SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)

SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)

SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SRV - (UleadBurningHelper) -- C:\Programme\Common Files\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (pccsmcfd) -- system32\DRIVERS\pccsmcfd.sys File not found

DRV - (amfqg16c) --  File not found

DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)

DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)

DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)

DRV - (sptd) -- C:\Windows\System32\drivers\sptd.sys ()

DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)

DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)

DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)

DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)

DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)

DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)

DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)

DRV - (IntcDAud) -- C:\Windows\System32\drivers\IntcDAud.sys (Intel(R) Corporation)

DRV - (pelusblf) -- C:\Windows\System32\drivers\PELUSBLF.SYS (TPMX Electronics Ltd.)

DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys ()

DRV - (pelmouse) -- C:\Windows\System32\drivers\PELMOUSE.SYS (TPMX Electronics Ltd.)

DRV - (TVTI2C) -- C:\Windows\System32\drivers\tvti2c.sys (Lenovo (United States) Inc.)

DRV - (e1kexpress) -- C:\Windows\System32\drivers\e1k6232.sys (Intel Corporation)

DRV - (HECI) -- C:\Windows\System32\drivers\HECI.sys (Intel Corporation)

DRV - (TPM) -- C:\Windows\System32\drivers\tpm.sys (Microsoft Corporation)

DRV - (netw5v32) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)

DRV - (psadd) -- C:\Windows\System32\drivers\psadd.sys (Lenovo (United States) Inc.)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

IE - HKLM\..\SearchScopes\{0B208F3A-1E60-4DE9-95C3-20B8B36D0B1C}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox;

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&appid=484&systemid=406&sr=0&q={searchTerms}

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.fbdownloader.com/?channel=sfge202fbdgy14

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com/welcome/thinkcentre [binary data]

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\URLSearchHook: {213c8ed6-1d78-4d8f-8729-25006aa86a76} - No CLSID value found

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes\{2A13DD09-0FF2-45C4-A053-47221ED37104}: "URL" = hxxp://search.softonic.com/INF1205T01/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=901

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&appid=484&systemid=406&sr=0&q={searchTerms}

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes\{BC2C5746-ABAE-4911-8329-64DC5434190E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^DE&apn_uid=C05A2007-710B-4558-941C-80110D3B66AC&apn_sauid=BA1703BC-6259-4D9A-9E22-E87EF5D1FD15

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = hxxp://mystart.incredibar.com/mb174/?search={searchTerms}&loc=IB_DS&a=6OyOAao5DA&i=26

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\SearchScopes\{DF0A39A6-CB9E-493A-86E0-A30D6DDD83DE}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3242337

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-76574986-262065499-1519216792-1108\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@canon.com/EPPEX: C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.)

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MIF5BA~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MIF5BA~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox

 

[2012.08.08 16:42:18 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2012.10.16 08:42:19 | 000,000,952 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\FBDownloader.xml

 
 ========== Chrome  ==========

 

CHR - default_search_provider: Ask (Enabled)

CHR - default_search_provider: search_url = hxxp://websearch.ask.com/redirect?client=cr&src=kw&tb=ORJ&o=&locale=&apn_uid=C05A2007-710B-4558-941C-80110D3B66AC&apn_ptnrs=U3&apn_sauid=BA1703BC-6259-4D9A-9E22-E87EF5D1FD15&apn_dtid=OSJ000YYDE&q={searchTerms}

CHR - default_search_provider: suggest_url = hxxp://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms}

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\27.0.1453.94\PepperFlash\pepflashplayer.dll

CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\27.0.1453.94\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Disabled) = C:\Program Files\Google\Chrome\Application\27.0.1453.94\pdf.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 11.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~1\MIF5BA~1\Office14\NPAUTHZ.DLL

CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~1\MIF5BA~1\Office14\NPSPWRAP.DLL

CHR - plugin: CANON iMAGE GATEWAY Album Plugin Utility (Enabled) = C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL

CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll

CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll

CHR - plugin: Java(TM) Platform SE 7 U7 (Enabled) = C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll

CHR - plugin: Nitro PDF Plug-In (Enabled) = C:\Program Files\Nitro PDF\Reader 2\npnitromozilla.dll

CHR - plugin: Windows Live\u00AE Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: Java Deployment Toolkit 7.0.70.10 (Enabled) = C:\Windows\system32\npDeployJava1.dll

CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O2 - BHO: (FBDownloader BHO) - {553318DA-D010-469E-84B1-496563CAE1BF} - C:\Users\***\AppData\Local\fbDownloader\Extensions\FBDownloader.dll (HTTO Group, Ltd)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\Toolbar\WebBrowser: (no name) - {213C8ED6-1D78-4D8F-8729-25006AA86A76} - No CLSID value found.

O3 - HKU\S-1-5-21-76574986-262065499-1519216792-1108\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)

O4 - HKLM..\Run: [Daemon for Mouse Suite] C:\Programme\Lenovo\Lenovo Mouse Suite\ICO.exe (Primax Electronics Ltd.)

O4 - HKLM..\Run: [Family Tree Builder Update] L:\MyHeritage\Bin\FTBCheckUpdates.exe File not found

O4 - HKLM..\Run: [IAStorIcon] C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)

O4 - HKLM..\Run: [IMSS] C:\Program Files\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe ()

O4 - HKLM..\Run: [Message Center Plus] C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe ()

O4 - HKLM..\Run: [Power Manager Power Agenda] C:\Programme\ThinkPad\Utilities\DPMHost.EXE ()

O4 - HKLM..\Run: [PWMTRV] C:\Programme\ThinkPad\Utilities\PWMTR32V.DLL (Lenovo Group Limited)

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)

O4 - HKU\S-1-5-21-76574986-262065499-1519216792-1108..\Run: [AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe (Alcohol Soft Development Team)

O4 - HKU\S-1-5-21-76574986-262065499-1519216792-1108..\Run: [DataMgr] C:\Users\***\AppData\Roaming\DataMgr\DataMgr.exe (HTTO Group, Ltd.)

O4 - HKU\S-1-5-21-76574986-262065499-1519216792-1108..\Run: [Intermediate] C:\Users\***\AppData\Roaming\Intermediate\Intermediate.exe ()

O4 - HKU\S-1-5-21-76574986-262065499-1519216792-1108..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-76574986-262065499-1519216792-1108..\Run: [SCheck] C:\Users\***\AppData\Roaming\SCheck\SCheck.exe ()

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)

O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0

O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)

O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)

O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)

O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000032 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O13 - gopher Prefix: missing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.17.2)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = helix.local

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E733DB1C-B022-460B-A403-D101CF9DB3BD}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)

O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - Unable to obtain root file information for disk Q:\

O33 - MountPoints2\{a51ad7ea-98c4-11df-bb4b-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{a51ad7ea-98c4-11df-bb4b-806e6f6e6963}\Shell\AutoRun\command - "" = Q:\LenovoQDrive.exe -- [2009.08.10 23:01:24 | 000,267,576 | -HS- | M] (Lenovo Group Limited)

O33 - MountPoints2\{f4f52440-0ed7-11e2-b373-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{f4f52440-0ed7-11e2-b373-806e6f6e6963}\Shell\AutoRun\command - "" = E:\MInst.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013.05.23 13:44:34 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Familienbande

[2013.05.23 13:43:08 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\MyHeritage

[2013.05.23 13:43:08 | 000,000,000 | ---D | C] -- C:\Users\ ***\AppData\Roaming\MyHeritage

[2013.05.23 13:43:08 | 000,000,000 | ---D | C] -- C:\ProgramData\MyHeritage

[2013.05.23 13:41:43 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyHeritage.com

[2013.05.23 13:41:38 | 000,372,736 | ---- | C] (Intel Corporation) -- C:\Windows\System32\ijl15.dll

[2013.05.23 13:41:38 | 000,118,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSSTDFMT.DLL

[2013.05.23 13:41:37 | 000,608,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\comctl32.ocx

[2013.05.23 13:41:37 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msmapi32.ocx

[2013.05.23 13:41:37 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\The Complete Genealogy Reporter - FTB

[2013.05.23 13:17:58 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\Ahnenblatt

[2013.05.23 13:17:58 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Ahnenblatt

[2013.05.21 15:48:53 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes

[2013.05.21 15:48:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware

[2013.05.21 15:48:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2013.05.21 15:48:40 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

[2013.05.21 15:48:40 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2013.05.21 15:38:19 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

[2013.05.21 15:37:33 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Wise Installation Wizard

[2013.05.21 15:33:26 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus

[2013.05.21 14:55:26 | 000,000,000 | ---D | C] -- C:\ProgramData\A50252427C4266550000A501AD4B70F7

[2013.05.16 16:59:31 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll

[2013.05.16 16:59:30 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll

[2013.05.16 16:59:30 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll

[2013.05.16 16:59:30 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe

[2013.05.16 16:59:29 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll

[2013.05.16 16:59:29 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl

[2013.05.16 16:59:29 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll

[2013.05.16 16:56:47 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb

[2013.05.16 08:36:19 | 002,347,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys

[2013.05.16 08:36:19 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wwanprotdim.dll

[2013.05.16 08:36:15 | 000,218,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\dxgmms1.sys

[2013.05.16 08:36:10 | 001,796,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\authui.dll

[2013.05.16 08:36:10 | 000,101,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\consent.exe

[2013.05.08 09:38:22 | 000,000,000 | ---D | C] -- C:\Users\***\restore

[2013.05.08 09:29:15 | 000,000,000 | ---D | C] -- C:\ProgramData\tmp

[2013.05.08 09:29:15 | 000,000,000 | ---D | C] -- C:\ProgramData\hps

[2013.05.08 09:29:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\dm-Fotowelt

[2013.05.06 10:06:22 | 000,066,656 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avnetflt.sys

[2013.04.25 09:38:26 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\***

[2013.04.25 09:20:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GEPath 1.4.6

[2013.04.25 09:20:00 | 000,545,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.002

[2013.04.25 09:19:57 | 000,138,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.001

[2013.04.25 09:19:41 | 000,155,136 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.000

[2013.04.25 09:19:41 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GEPath 1.4.6

[2013.04.25 09:19:34 | 000,000,000 | ---D | C] -- C:\Program Files\GEPath

[2013.04.25 09:19:21 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\Setup1.exe

[2013.04.25 09:19:19 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\ST6UNST.EXE

[2013.04.25 09:18:17 | 000,000,000 | ---D | C] -- C:\Users\***\Local Settings

[2013.04.25 09:18:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip

[2013.04.25 09:18:09 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013.05.24 13:11:35 | 000,016,768 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2013.05.24 13:11:35 | 000,016,768 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2013.05.24 13:10:02 | 000,696,620 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2013.05.24 13:10:02 | 000,651,938 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2013.05.24 13:10:02 | 000,147,916 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2013.05.24 13:10:02 | 000,120,870 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[2013.05.24 13:05:31 | 000,001,114 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2013.05.24 13:05:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2013.05.24 13:05:00 | 1401,708,544 | -HS- | M] () -- C:\hiberfil.sys

[2013.05.24 12:26:01 | 000,001,118 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2013.05.24 08:28:04 | 000,002,140 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk

[2013.05.23 13:43:25 | 000,000,067 | ---- | M] () -- C:\Windows\MyHeritage.INI

[2013.05.21 15:48:42 | 000,001,074 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

[2013.05.17 14:05:00 | 002,970,706 | ---- | M] () -- C:\Users\***\Desktop\2013-05-06 16.14.46.jpg

[2013.05.17 08:04:34 | 000,468,232 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT

[2013.05.16 09:36:11 | 000,012,019 | ---- | M] () -- C:\Users\***\AppData\Local\recently-used.xbel

[2013.05.06 16:09:00 | 002,991,493 | ---- | M] () -- C:\Users\***\Desktop\2013-05-06 16.14.54.jpg

[2013.05.06 10:05:53 | 000,066,656 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avnetflt.sys

[2013.05.05 21:12:55 | 002,382,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb

[2013.04.25 09:20:00 | 000,545,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\temp.002

[2013.04.25 09:19:57 | 000,138,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\temp.001

[2013.04.25 09:19:41 | 000,155,136 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\temp.000

[2013.04.25 09:19:21 | 000,249,856 | ---- | M] (Microsoft Corporation) -- C:\Windows\Setup1.exe

[2013.04.25 09:19:19 | 000,073,216 | ---- | M] (Microsoft Corporation) -- C:\Windows\ST6UNST.EXE

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2013.05.23 13:43:25 | 000,000,067 | ---- | C] () -- C:\Windows\MyHeritage.INI

[2013.05.23 13:41:38 | 000,454,656 | ---- | C] () -- C:\Windows\System32\PaintX.dll

[2013.05.21 15:48:42 | 000,001,074 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

[2013.05.16 09:36:11 | 000,012,019 | ---- | C] () -- C:\Users\***\AppData\Local\recently-used.xbel

[2013.05.06 16:14:00 | 002,970,706 | ---- | C] () -- C:\Users\***\Desktop\2013-05-06 16.14.46.jpg

[2013.05.06 16:09:00 | 002,991,493 | ---- | C] () -- C:\Users\***\Desktop\2013-05-06 16.14.54.jpg

[2013.03.01 12:11:03 | 000,012,697 | ---- | C] () -- C:\Windows\ASS_150E.INI

[2013.02.18 15:35:29 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll

[2013.02.18 15:34:24 | 000,007,119 | ---- | C] () -- C:\Windows\mgxoschk.ini

[2013.01.22 10:46:44 | 000,007,605 | ---- | C] () -- C:\Users\***\AppData\Local\Resmon.ResmonCfg

[2012.09.11 12:57:08 | 000,007,154 | ---- | C] () -- C:\Windows\Perkins 1104D.ini

[2011.06.27 17:25:13 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe

[2010.09.28 15:58:01 | 000,003,082 | RHS- | C] () -- C:\ProgramData\ntuser.pol

 
 ========== ZeroAccess Check ==========

 

[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2013.02.27 06:55:05 | 012,872,704 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both
 

< End of report >

Zitat:

Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h***x.local

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.