Trojaner-Board - Sicherheirheitscenter und Microsoft Security Essentials deaktiviert!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sicherheirheitscenter und Microsoft Security Essentials deaktiviert! (https://www.trojaner-board.de/126708-sicherheirheitscenter-microsoft-security-essentials-deaktiviert.html)

Sicherheirheitscenter und Microsoft Security Essentials deaktiviert!

Guten Abend zusammen! Ich habe ein richtig großes Problem. Der Rechner scheint von irgendetwas infiziert worden sein. Ich habe hier im Forum gestöbert, dieses Problem muss wohl individuell behandelt werden.

Sicherheitscenter lässt sich nicht starten, auch nicht manuell bei den Diensten, Windows Defender ist aus, Microsoft Security Essentials startet auch nicht. Der Rechner ist jetzt seit gut einer Woche in diesem Zustand, muss aber Tag und Nacht wegen der Arbeit laufen..

PS: Google leitet auf verschiedene teils Pornographische Seiten um. Ich hoffe es kann mir jemand helfen..

Im Moment lasse ich Malwarebytes komplett Scan drüber laufen. Poste dann das Ergebnis.

Vielen Dank im Voraus!

hi
bitte das nächste mal einfach den scan zuende laufen lassen, und dann erst nen thema aufmachen.
wenn du dir nämlich selbst antwortest, ist das thema nicht mehr unbeantwortet, und es wird evtl. länger dauern, bis wer rein schaut :-)

Okay :) Danke für die Info! Der Scan müsste gleich fertig sein. Aber ich glaube er wird nichts finden. Hab am Sonntag als ich beim Schaffen war schon mal durchlaufen lassen.

öffne dann, wenn der scan nichts findet, malwarebytes, berichte, poste logs mit funden.
dann:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

So, wie gedacht hat er nichts gefunden, soll ich jetzt die OTL Vorgang machen?

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.04.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Platz 1 :: PLATZ1 [Administrator]
 

08.11.2012 17:21:10

mbam-log-2012-11-08 (17-21-10).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 381076

Laufzeit: 1 Stunde(n), 31 Minute(n), 
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

vom 04.11.

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.04.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Platz 1 :: PLATZ1 [Administrator]
 

04.11.2012 23:20:16

mbam-log-2012-11-04 (23-20-16).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 365353

Laufzeit: 1 Stunde(n), 14 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\System Volume Information\_restore{79F37D90-57FC-4887-A9F8-F479E4883255}\RP4\A0000729.exe (Trojan.MSIL) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Und nochmal vom 04.11.

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.04.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Platz 1 :: PLATZ1 [Administrator]
 

04.11.2012 23:04:01

mbam-log-2012-11-04 (23-04-01).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 287028

Laufzeit: 9 Minute(n), 16 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Es befinden sich auch noch folgende Dateien unter der Quarantäne
Im Anhang!

Das andere Bild war zu groß

kannst du die fundmeldungen mal als text posten? +otl logs

OTL.txt, wo finde ich die Extra.txt?

Code:

OTL logfile created on: 08.11.2012 19:07:44 - Run 2

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Platz 1\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 77,81% Memory free

4,80 Gb Paging File | 4,38 Gb Available in Paging File | 91,27% Paging File free

Paging file location(s): C:\pagefile.sys 2000 2001 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 29,29 Gb Total Space | 8,65 Gb Free Space | 29,53% Space Free | Partition Type: NTFS

Drive D: | 119,75 Gb Total Space | 92,69 Gb Free Space | 77,41% Space Free | Partition Type: NTFS

 

Computer Name: PLATZ1 | User Name: Platz 1 | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.11.08 18:24:21 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Platz 1\Desktop\OTL.exe

PRC - [2012.08.31 04:47:08 | 000,161,768 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe

PRC - [2011.06.27 07:27:58 | 000,220,552 | ---- | M] (Geek Software GmbH) -- C:\Programme\pdf24\pdf24.exe

PRC - [2009.03.05 16:28:08 | 000,585,728 | ---- | M] (TightVNC Group) -- C:\Programme\TightVNC\WinVNC.exe

PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007.12.14 09:27:14 | 000,524,288 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe

PRC - [2006.10.26 13:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

 

 
 ========== Modules (No Company Name) ==========

 

MOD - [2012.07.27 21:51:38 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU

MOD - [2007.12.14 09:27:14 | 000,524,288 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe

 

 
 ========== Services (SafeList) ==========

 

SRV - [2012.10.09 04:52:19 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)

SRV - [2012.08.31 04:47:08 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)

SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)

SRV - [2009.03.05 16:28:08 | 000,585,728 | ---- | M] (TightVNC Group) [Auto | Running] -- C:\Programme\TightVNC\WinVNC.exe -- (winvnc)

SRV - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend)

SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

SRV - [2006.10.26 13:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe -- (MDM)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nhcimono.sys -- (NHCIMONO)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

DRV - [2012.08.27 15:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2012.06.12 11:35:10 | 000,028,312 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\WLRAWMp50x86.sys -- (WLRAWMp50x86)

DRV - [2012.06.12 11:35:10 | 000,027,032 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WLRAWSp50x86.sys -- (WLRAWSp50x86)

DRV - [2011.11.21 20:49:19 | 000,017,488 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)

DRV - [2010.02.09 22:55:59 | 000,010,688 | ---- | M] (UVNC BVBA) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mv2.sys -- (mv2)

DRV - [2009.12.08 11:03:00 | 006,017,568 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)

DRV - [2009.11.27 08:20:06 | 000,177,152 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)

DRV - [2009.11.18 00:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)

DRV - [2009.11.18 00:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)

DRV - [2008.04.13 23:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)

DRV - [2006.10.18 10:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvatabus.sys -- (nvatabus)

DRV - [2006.07.11 14:38:30 | 000,020,480 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)

DRV - [2006.07.11 14:38:28 | 000,057,856 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)

DRV - [2006.06.28 10:38:56 | 000,105,088 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)

DRV - [2006.06.18 23:38:18 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)

DRV - [2006.06.12 19:06:28 | 000,041,984 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\DGIVECP.SYS -- (DgiVecp)

DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)

DRV - [2001.08.17 13:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)

DRV - [2000.07.24 01:01:00 | 000,019,537 | ---- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\BRPAR.SYS -- (BrPar)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\SearchScopes,DefaultScope = {3AC2D54C-4AAD-43FA-B0E9-20F6D191ACB6}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM\..\SearchScopes\{3AC2D54C-4AAD-43FA-B0E9-20F6D191ACB6}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.suedkurier.de/hxxp://r [Binary data over 200 bytes]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 22 6A 11 F8 8E 98 CD 01  [binary data]

IE - HKCU\..\SearchScopes,DefaultScope = {3AC2D54C-4AAD-43FA-B0E9-20F6D191ACB6}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Components: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\components

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Plugins: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\plugins

 

 
 ========== Chrome  ==========

 

CHR - homepage: hxxp://www.google.de/

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}

CHR - homepage: hxxp://www.google.de/

CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.64\PepperFlash\pepflashplayer.dll

CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.64\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.64\pdf.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll

CHR - plugin: Zylom Plugin (Enabled) = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll

CHR - plugin: Java(TM) Platform SE 7 U7 (Enabled) = C:\Programme\Java\jre7\bin\plugin2\npjp2.dll

CHR - plugin: Microsoft Office Live Plug-in for Firefox (Enabled) = C:\Programme\Microsoft\Office Live\npOLW.dll

CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll

CHR - plugin: Java Deployment Toolkit 7.0.70.10 (Enabled) = C:\WINDOWS\system32\npDeployJava1.dll

CHR - Extension: Google Drive = C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\

CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

O1 HOSTS File: ([2012.05.03 19:38:43 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: ::1             localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Logitech Alert Commander] C:\Programme\Logitech\Logitech Alert\Logitech Alert Commander.exe (Logitech)

O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)

O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()

O4 - HKLM..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" File not found

O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe (TightVNC Group)

O4 - Startup: C:\Dokumente und Einstellungen\Platz 1\Startmenü\Programme\Autostart\GefoS1.KTC ()

O4 - Startup: C:\Dokumente und Einstellungen\Platz 1\Startmenü\Programme\Autostart\GefoS2.KTC ()

O4 - Startup: C:\Dokumente und Einstellungen\Platz 1\Startmenü\Programme\Autostart\GefoS3.KTC ()

O4 - Startup: C:\Dokumente und Einstellungen\Platz 1\Startmenü\Programme\Autostart\Taximap starten.lnk = D:\Gefos\TaxiMAP\TaxiMAP.exe (Gesellschaft für offene Systeme mbH)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Security present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\SQM present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe File not found

O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe File not found

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab (Bitdefender QuickScan Control)

O16 - DPF: {82E5DF24-51E8-47CD-864A-F4BD5005AA73} https://www.icloud.com/system/iCloud.cab (iCloud Web App Plugin)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Reg Error: Value error.)

O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{78E83C1F-29C3-4832-8E17-6BFF701E1B0A}: NameServer = 192.168.0.5,192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8E533E79-714A-43AC-A75D-855956225F4D}: NameServer = 192.168.0.5,192.168.0.1

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.13 14:51:38 | 000,009,188 | ---- | M] () - D:\autos.xlsx -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8

ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {72AD53CC-CCC0-3757-8480-9EE176866A7C} - .NET Framework

ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {842F9881-E181-30B3-A152-008D61433274} - .NET Framework

ActiveX: {85AC0FFA-643D-3103-9310-7086ECB0C36C} - .NET Framework

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\windows\system32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {9A1027CE-83F6-3CB2-B9BA-9DA38D0907D0} - .NET Framework

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework

ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\windows\system32\ieudinit.exe

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\windows\system32\ie4uinit.exe -UserIconConfig

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\windows\system32\rundll32.exe" "C:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

NetSvcs: 6to4 -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.11.08 18:24:18 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Platz 1\Desktop\OTL.exe

[2012.11.08 06:58:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\Unity

[2012.11.08 06:36:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Unity

[2012.11.08 06:03:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome

[2012.11.05 02:34:55 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client

[2012.11.05 01:20:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2012.11.04 23:02:45 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2012.11.04 23:02:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2012.11.04 22:24:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2012.11.04 21:54:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\Malwarebytes

[2012.11.04 21:54:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2012.11.04 21:30:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\QuickScan

[2012.11.04 20:47:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\ElevatedDiagnostics

[2012.11.04 20:46:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\windowspowershell

[2012.10.31 19:15:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Eigene Dateien\Downloads

[2012.10.20 15:47:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google

[2012.10.20 15:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Deployment

[2012.10.18 16:19:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd

[2012.10.18 16:15:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Logitech

[2012.10.18 16:14:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\LogiShrd

[2012.10.18 16:14:48 | 000,000,000 | ---D | C] -- C:\Programme\Logitech

[2012.10.18 16:14:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.11.08 19:09:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F423D00A-040C-4E75-B52E-BC905A120501}.job

[2012.11.08 19:08:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2012.11.08 19:07:00 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{432521A2-5F0C-4696-8111-90E5A28735F3}.job

[2012.11.08 19:00:37 | 000,278,223 | ---- | M] () -- C:\Dokumente und Einstellungen\Platz 1\Desktop\Unbenannt.JPG

[2012.11.08 18:52:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2012.11.08 18:24:21 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Platz 1\Desktop\OTL.exe

[2012.11.08 17:44:25 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{CB42F685-D767-4C5E-8034-C7F0F2B347A3}.job

[2012.11.08 06:08:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2012.11.08 06:04:02 | 000,001,823 | ---- | M] () -- C:\Dokumente und Einstellungen\Platz 1\Desktop\Google Chrome.lnk

[2012.11.08 01:39:00 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job

[2012.11.06 16:38:30 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EMAIL -Microsoft Office Outlook 2007.lnk

[2012.11.06 15:11:44 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012.11.06 15:11:24 | 000,000,314 | ---- | M] () -- C:\WINDOWS\tasks\nctgjrxuaz.job

[2012.11.06 15:11:23 | 000,000,312 | ---- | M] () -- C:\WINDOWS\tasks\RHGXE.job

[2012.11.06 15:11:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012.11.05 06:49:53 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Office Word 2007.lnk

[2012.11.05 03:07:59 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job

[2012.11.05 02:35:15 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif

[2012.11.05 02:01:29 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat

[2012.11.04 23:02:51 | 000,000,810 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2012.11.04 22:56:19 | 000,452,726 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2012.11.04 22:56:19 | 000,435,886 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2012.11.04 22:56:19 | 000,081,790 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2012.11.04 22:56:19 | 000,068,782 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2012.11.04 22:52:12 | 000,319,544 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () -- C:\WINDOWS\System32\ipsecsvcy.dll

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () -- C:\WINDOWS\System32\gpresulte.dll

[2012.11.03 08:53:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2012.10.26 08:38:44 | 000,001,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Platz 1\Eigene Dateien\Default.rdp

[2012.10.18 16:15:07 | 000,001,873 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Logitech Alert Commander.lnk

[2012.10.11 02:05:28 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012.11.08 18:57:21 | 000,278,223 | ---- | C] () -- C:\Dokumente und Einstellungen\Platz 1\Desktop\Unbenannt.JPG

[2012.11.08 06:04:02 | 000,001,823 | ---- | C] () -- C:\Dokumente und Einstellungen\Platz 1\Desktop\Google Chrome.lnk

[2012.11.08 06:03:12 | 000,001,092 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2012.11.08 06:03:11 | 000,001,088 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2012.11.05 02:41:50 | 000,000,322 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job

[2012.11.05 02:35:10 | 000,001,732 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Security Essentials.lnk

[2012.11.05 01:48:15 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job

[2012.11.04 23:02:51 | 000,000,810 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2012.11.03 15:39:53 | 000,086,016 | RHS- | C] () -- C:\WINDOWS\System32\ipsecsvcy.dll

[2012.11.03 15:39:53 | 000,086,016 | RHS- | C] () -- C:\WINDOWS\System32\gpresulte.dll

[2012.11.03 15:39:53 | 000,000,314 | ---- | C] () -- C:\WINDOWS\tasks\nctgjrxuaz.job

[2012.11.03 15:39:53 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\RHGXE.job

[2012.10.18 16:15:07 | 000,001,873 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Logitech Alert Commander.lnk

[2012.09.22 06:47:21 | 000,003,116 | RHS- | C] () -- C:\Dokumente und Einstellungen\Platz 1\ntuser.pol

[2012.08.25 06:37:14 | 000,039,044 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat

[2012.02.15 17:58:29 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2010.11.27 07:04:57 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2008.03.27 13:34:51 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

 
 ========== ZeroAccess Check ==========

 

[2010.07.22 09:47:19 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 06:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 
 ========== LOP Check ==========

 

[2010.11.04 08:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch

[2008.07.23 09:19:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

[2012.01.29 21:08:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MS-Buchhalter

[2012.05.03 20:47:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ParetoLogic

[2012.04.21 08:10:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\temp

[2008.04.19 18:23:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom

[2012.04.25 17:20:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2009.05.21 00:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

[2012.11.05 02:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\ElevatedDiagnostics

[2012.09.23 09:28:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\FRITZ!

[2012.11.04 21:30:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\QuickScan

[2012.11.08 06:58:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\Unity

[2012.09.22 06:48:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Platz 1\Anwendungsdaten\Windows Search

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 
 < %SYSTEMDRIVE%\*. >

[2011.11.24 11:14:42 | 000,000,000 | ---D | M] -- C:\!KillBox

[2012.11.05 02:35:10 | 000,000,000 | -HSD | M] -- C:\Config.Msi

[2012.09.22 06:47:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen

[2010.07.22 09:51:58 | 000,000,000 | ---D | M] -- C:\Intel

[2008.03.27 13:15:23 | 000,000,000 | RH-D | M] -- C:\MSOCache

[2012.11.08 06:04:00 | 000,000,000 | R--D | M] -- C:\Programme

[2012.09.22 06:56:55 | 000,000,000 | -HSD | M] -- C:\RECYCLER

[2012.11.04 19:52:10 | 000,000,000 | -HSD | M] -- C:\System Volume Information

[2011.11.24 06:53:04 | 000,000,000 | ---D | M] -- C:\TEMP

[2012.11.04 21:38:25 | 000,000,000 | ---D | M] -- C:\WINDOWS

 
 < %PROGRAMFILES%\*.exe >

Invalid Environment Variable: LOCALAPPDATA

 
 < %systemroot%\*. /mp /s >

 
 < C:\Windows\system32\*.tsp >

[2008.04.14 06:53:10 | 000,266,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\h323.tsp

[2008.04.14 06:53:10 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp

[2008.04.14 06:53:10 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ipconf.tsp

[2008.04.14 06:53:10 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp

[2008.04.14 06:53:10 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp

[2008.04.14 06:53:10 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp

[2008.04.14 06:53:10 | 000,207,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp

[2 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]

[2007.11.14 10:42:03 | 000,000,065 | ---- | C] () -- C:\WINDOWS\Tasks\desktop.ini

[2007.11.14 10:43:45 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT

[2010.05.10 08:52:25 | 000,000,434 | -H-- | C] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{432521A2-5F0C-4696-8111-90E5A28735F3}.job

[2011.12.23 06:24:05 | 000,000,426 | -H-- | C] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{F423D00A-040C-4E75-B52E-BC905A120501}.job

[2012.08.09 06:08:14 | 000,000,276 | ---- | C] () -- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

[2012.08.25 06:37:55 | 000,000,884 | ---- | C] () -- C:\WINDOWS\Tasks\Adobe Flash Player Updater.job

[2012.09.22 07:54:30 | 000,000,422 | -H-- | C] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{CB42F685-D767-4C5E-8034-C7F0F2B347A3}.job

[2012.11.03 15:39:53 | 000,000,312 | ---- | C] () -- C:\WINDOWS\Tasks\RHGXE.job

[2012.11.03 15:39:53 | 000,000,314 | ---- | C] () -- C:\WINDOWS\Tasks\nctgjrxuaz.job

[2012.11.05 01:48:15 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job

[2012.11.05 02:41:50 | 000,000,322 | -H-- | C] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job

[2012.11.08 06:03:11 | 000,001,088 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job

[2012.11.08 06:03:12 | 000,001,092 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job

 
 < MD5 for: AGP440.SYS  >

[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys

[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys

[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys

[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys

[2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys

[2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys

[2004.08.03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys

 
 < MD5 for: ATAPI.SYS  >

[2003.04.02 13:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp1.cab:atapi.sys

[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys

[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys

[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys

[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys

[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys

[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys

[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll

[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll

[2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll

 
 < MD5 for: EXPLORER.EXE  >

[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB884883$\explorer.exe

[2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe

[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[2005.04.07 19:46:59 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll

[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll

[2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

 
 < MD5 for: NVATA.SYS  >

[2006.06.28 10:38:56 | 000,105,088 | ---- | M] (NVIDIA Corporation) MD5=9ECCD189A9554C30A0D18A429778C7BA -- C:\WINDOWS\system32\drivers\nvata.sys

 
 < MD5 for: NVATABUS.SYS  >

[2006.10.18 10:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\OemDir\nvatabus.sys

[2006.10.18 10:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\system32\drivers\nvatabus.sys

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll

[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll

[2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll

[2007.03.08 16:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll

[2005.03.02 19:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll

[2004.08.04 00:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll

[2007.03.08 16:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll

[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll

[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe

[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2012.09.29 19:54:26 | 000,218,184 | ---- | M] () MD5=8846E87210AD131CF71E3E2E49F647B0 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2003.04.02 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2003.04.02 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2007.11.14 18:34:03 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav

[2007.11.14 18:34:03 | 000,630,784 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav

[2007.11.14 18:34:03 | 000,417,792 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav

 
 < %systemroot%\system32\*.dll /lockedfiles >

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\gpresulte.dll

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\ipsecsvcy.dll

[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %USERPROFILE%\*.* >

[2012.11.08 19:09:32 | 002,097,152 | -H-- | M] () -- C:\Dokumente und Einstellungen\Platz 1\NTUSER.DAT

[2012.11.08 19:12:08 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Platz 1\NTUSER.DAT.LOG

[2012.11.06 15:10:32 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Platz 1\ntuser.ini

[2012.09.22 06:47:21 | 000,003,116 | RHS- | M] () -- C:\Dokumente und Einstellungen\Platz 1\ntuser.pol

 
 < %USERPROFILE%\Local Settings\Temp\*.exe >

 
 < %USERPROFILE%\Local Settings\Temp\*.dll >

 
 < %USERPROFILE%\Application Data\*.exe >

 
 < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.07.03 19:25:08 | 001,866,240 | ---- | M] (Microsoft Corporation)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 522 bytes -> C:\WINDOWS\System32\drivers\qjqpgeap.sys:changelist
 

< End of report >

Wie kann ich die Virusfunde bei Malwarebytes als Text posten? Ich kriege es nicht rauskopiert.. :(

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () -- C:\WINDOWS\System32\ipsecsvcy.dll

[2012.11.03 15:39:53 | 000,086,016 | RHS- | M] () -- C:\WINDOWS\System32\gpresulte.dll

[2012.11.06 15:11:24 | 000,000,314 | ---- | M] () -- C:\WINDOWS\tasks\nctgjrxuaz.job

[2012.11.06 15:11:23 | 000,000,312 | ---- | M] () -- C:\WINDOWS\tasks\RHGXE.job

 :Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

downloade get info:
http://markusg.trojaner-board.de/GetInfo.exe
doppelklicke die .exe
im selben ordner wird nun eine .txt erstellt:
summary-info.txt
diese doppelklicken und deren inhalt posten.

Frage:
hast du zum infektionszeitpunkt, bzw evtl. einen tag davor, etwas runtergeladen und instaliert bzw ausgeführt?
wurdest du beim besuch einer seite aufgefordert etwas zu instalieren bzw runterzuladen? diese infos hätte ich auch gern als private nachicht.

Anbieter / Datum / Kategorie / Objekt
Trojan.MSIL / 04.11.2012, 23:20 / File / C:\System Volume Information\_restore{79F37D90-57FC-4887-A9F8-F479E4883255}\RP4\A0000729.exe

Trojan.Agent / 04.11.2012, 23:04 / Registry Data / HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunlRegedit32

PUM.Disabled.SecurityCenter / 04.11.2012, 23:04 / Registry Data / HKLM\SOFTWARE\Microsoft\Security CenterlFirewallDisableNotify

PUM.Disabled.SecurityCenter / 04.11.2012, 23:04 / Registry Data /HKLM\SOFTWARE\Microsoft\Security CenterlAntiVirusDisableNotify

PUM.Disabled.SecurityCenter / 04.11.2012, 23:04 / Registry Data /
HKLM\SOFTWARE\Microsoft\Security CenterlUpdatesDisableNotify

Code:

All processes killed

========== OTL ==========

C:\WINDOWS\system32\ipsecsvcy.dll moved successfully.

C:\WINDOWS\system32\gpresulte.dll moved successfully.

C:\WINDOWS\tasks\nctgjrxuaz.job moved successfully.

C:\WINDOWS\tasks\RHGXE.job moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

 

User: Administrator.PLATZ1.001

->Flash cache emptied: 3006 bytes

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

User: Platz 1

->Flash cache emptied: 36356 bytes

 

User: TEMP

 

User: Zentrale1

->Flash cache emptied: 31730 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 111714275 bytes

->Temporary Internet Files folder emptied: 61652517 bytes

->Java cache emptied: 0 bytes

 

User: Administrator.PLATZ1.001

->Temp folder emptied: 4885579 bytes

->Temporary Internet Files folder emptied: 102084076 bytes

->Java cache emptied: 0 bytes

->Apple Safari cache emptied: 5163008 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 398975 bytes

 

User: NetworkService

->Temp folder emptied: 2486954 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Platz 1

->Temp folder emptied: 137061130 bytes

->Temporary Internet Files folder emptied: 371501468 bytes

->Google Chrome cache emptied: 239766238 bytes

->Apple Safari cache emptied: 52965376 bytes

->Flash cache emptied: 0 bytes

 

User: TEMP

 

User: Zentrale1

->Temp folder emptied: 2241720 bytes

->Temporary Internet Files folder emptied: 259187169 bytes

->Java cache emptied: 18533714 bytes

->Apple Safari cache emptied: 144291840 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1190192 bytes

%systemroot%\System32 .tmp files removed: 18311 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3064229 bytes

RecycleBin emptied: 132398781 bytes

 

Total Files Cleaned = 1.574,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 11082012_194458
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

nu weiter mit upload, und getinfo.exe bitte

Das ist die Datei die nach dem Neustart kam, mach gleich den Upload

Code:

All processes killed

========== OTL ==========

C:\WINDOWS\system32\ipsecsvcy.dll moved successfully.

C:\WINDOWS\system32\gpresulte.dll moved successfully.

C:\WINDOWS\tasks\nctgjrxuaz.job moved successfully.

C:\WINDOWS\tasks\RHGXE.job moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

 

User: Administrator.PLATZ1.001

->Flash cache emptied: 3006 bytes

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

User: Platz 1

->Flash cache emptied: 36356 bytes

 

User: TEMP

 

User: Zentrale1

->Flash cache emptied: 31730 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 111714275 bytes

->Temporary Internet Files folder emptied: 61652517 bytes

->Java cache emptied: 0 bytes

 

User: Administrator.PLATZ1.001

->Temp folder emptied: 4885579 bytes

->Temporary Internet Files folder emptied: 102084076 bytes

->Java cache emptied: 0 bytes

->Apple Safari cache emptied: 5163008 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 398975 bytes

 

User: NetworkService

->Temp folder emptied: 2486954 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Platz 1

->Temp folder emptied: 137061130 bytes

->Temporary Internet Files folder emptied: 371501468 bytes

->Google Chrome cache emptied: 239766238 bytes

->Apple Safari cache emptied: 52965376 bytes

->Flash cache emptied: 0 bytes

 

User: TEMP

 

User: Zentrale1

->Temp folder emptied: 2241720 bytes

->Temporary Internet Files folder emptied: 259187169 bytes

->Java cache emptied: 18533714 bytes

->Apple Safari cache emptied: 144291840 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1190192 bytes

%systemroot%\System32 .tmp files removed: 18311 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3064229 bytes

RecycleBin emptied: 132398781 bytes

 

Total Files Cleaned = 1.574,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 11082012_194458
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

jo die hatten wir ja schon.

getinfo.exe

Code:

System volume information:         dwHighDateTime = 0x1c826a4,dwLowDateTime = 0x4d4cea3c

System32:                         dwHighDateTime = 0x1c826e3,dwLowDateTime = 0xcdc99612

dwSerialNumber = 0xe8ca7b69

Upload hat auch funktioniert!

danke

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Da ist jetzt eine Meldung dass dieser pc über keine Microsoft Wiederherstellungskonsole verfügt. Klicke ja um mit Combofix die Konsole runterzuladen.

Was soll ich klicken?

Ich hab's mal runtergeladen, muss man ja :)

hi bitte frag nicht hier und per pm, hab auch noch ein paar nutzer mehr als dich, und kann daher nicht innerhalb von ner minute antworten :-)
klicke ja

Okay danke :)

combofix.txt

Code:

ComboFix 12-11-08.01 - Platz 1 08.11.2012  20:30:46.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3070.2574 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Platz 1\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\KXR28F.tmp

c:\windows\IsUn0407.exe

c:\windows\system32\dllcache\wmpvis.dll

c:\windows\unin0407.exe

D:\Uninstall.exe

D:\WinRAR.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-10-08 bis 2012-11-08  ))))))))))))))))))))))))))))))

.

.

2012-11-08 18:44 . 2012-11-08 18:58        --------        d-----w-        C:\_OTL

2012-11-08 05:58 . 2012-11-08 05:58        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Anwendungsdaten\Unity

2012-11-08 05:36 . 2012-11-08 05:36        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Unity

2012-11-05 01:39 . 2012-10-17 00:32        6918632        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{68ED7329-5EBF-4E28-98FC-19B6C02BD360}\mpengine.dll

2012-11-05 01:34 . 2012-11-05 01:35        --------        d-----w-        c:\programme\Microsoft Security Client

2012-11-04 22:02 . 2012-11-05 00:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-11-04 22:02 . 2012-09-29 18:54        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-04 20:54 . 2012-11-04 20:54        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Anwendungsdaten\Malwarebytes

2012-11-04 20:54 . 2012-11-04 20:54        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-11-04 20:42 . 2012-11-04 20:42        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\PrivacIE

2012-11-04 20:42 . 2012-11-04 20:42        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2012-11-04 20:30 . 2012-11-04 20:30        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Anwendungsdaten\QuickScan

2012-11-04 19:47 . 2012-11-05 01:41        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Anwendungsdaten\ElevatedDiagnostics

2012-10-20 14:47 . 2012-11-08 05:04        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Google

2012-10-20 14:47 . 2012-11-08 05:03        --------        d-----w-        c:\dokumente und einstellungen\Platz 1\Lokale Einstellungen\Anwendungsdaten\Deployment

2012-10-18 15:19 . 2012-10-18 15:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd

2012-10-18 15:14 . 2012-10-18 15:14        --------        d-----w-        c:\programme\Gemeinsame Dateien\LogiShrd

2012-10-18 15:14 . 2012-10-18 15:14        --------        d-----w-        c:\programme\Logitech

2012-10-18 15:14 . 2012-10-18 15:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-09 03:52 . 2012-05-08 05:42        696760        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-10-09 03:52 . 2011-12-04 20:03        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-08-31 03:47 . 2012-08-31 03:47        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2012-08-31 03:46 . 2012-05-12 05:01        143872        ----a-w-        c:\windows\system32\javacpl.cpl

2012-08-31 03:46 . 2012-05-12 05:01        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-08-31 03:46 . 2011-03-10 06:43        746984        ----a-w-        c:\windows\system32\deployJava1.dll

2012-08-30 21:03 . 2012-08-30 21:03        193552        ----a-w-        c:\windows\system32\drivers\MpFilter.sys

2012-08-28 15:05 . 2003-04-02 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-08-28 15:05 . 2003-04-02 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-08-28 15:05 . 2003-04-02 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-08-28 12:07 . 2007-11-14 10:03        385024        ------w-        c:\windows\system32\html.iec

2012-08-24 13:53 . 2003-04-02 12:00        177664        ----a-w-        c:\windows\system32\wintrust.dll

2012-08-23 06:26 . 2003-04-02 12:00        2151424        ------w-        c:\windows\system32\ntoskrnl.exe

2012-08-23 06:26 . 2002-08-29 03:41        2030080        ------w-        c:\windows\system32\ntkrnlpa.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]

"nwiz"="nwiz.exe" [2007-12-04 1626112]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2009-03-05 585728]

"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-12-14 524288]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-13 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-13 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-13 144920]

"RTHDCPL"="RTHDCPL.EXE" [2009-12-08 18789920]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2011-06-27 220552]

"Logitech Alert Commander"="c:\programme\Logitech\Logitech Alert\Logitech Alert Commander.exe" [2012-06-12 11990888]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Zentrale1\Startmenü\Programme\Autostart\

FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2010-11-4 1504560]

Kopie (2) von Taxidispo - GEFOS.lnk - \\192.168.0.100\kea\GefoS.KTC [2008-12-19 8790]

Kopie (3) von Taxidispo - GEFOS.lnk - \\192.168.0.100\kea\GefoS.KTC [2008-12-19 8790]

Kopie von Microsoft Office Outlook 2007.lnk - c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe [2008-3-27 845584]

Kopie von Taxidispo - GEFOS.lnk - \\192.168.0.100\kea\GefoS.KTC [2008-12-19 8790]

Taxidispo - GEFOS.lnk - \\192.168.0.100\kea\GefoS.KTC [2008-12-19 8790]

Taximap starten.lnk - d:\gefos\TaxiMAP\TaxiMAP.exe [2012-1-19 1936384]

.

c:\dokumente und einstellungen\Platz 1\Startmenü\Programme\Autostart\

GefoS1.KTC [2008-12-19 8790]

GefoS2.KTC [2008-12-19 8790]

GefoS3.KTC [2008-12-19 8790]

Taximap starten.lnk - d:\gefos\TaxiMAP\TaxiMAP.exe [2012-1-19 1936384]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Attachmate\\KEA! VT\\keavt.exe"=

"c:\\Programme\\TightVNC\\vncviewer.exe"=

"c:\\Programme\\TightVNC\\WinVNC.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"c:\\Programme\\FRITZ!\\FriFax32.exe"=

"c:\\Programme\\Microsoft Security Client\\msseces.exe"=

"c:\\Programme\\Logitech\\Logitech Alert\\Logitech Alert Commander.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"5900:TCP"= 5900:TCP:vnc5900

"5800:TCP"= 5800:TCP:vnc5800

.

R3 WLRAWSp50x86;WLRAWSp50x86 NDIS Protocol Driver;c:\windows\system32\drivers\WLRAWSp50x86.sys [12.06.2012 11:35 27032]

S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [22.07.2010 09:51 1691480]

S3 mv2;mv2;c:\windows\system32\drivers\mv2.sys [09.02.2010 22:56 10688]

S3 NHCIMONO;NHCIMONO;c:\windows\system32\DRIVERS\nhcimono.sys --> c:\windows\system32\DRIVERS\nhcimono.sys [?]

S3 WLRAWMp50x86;WLRAWMp50x86 NDIS Protocol Driver;c:\windows\system32\drivers\WLRAWMp50x86.sys [12.06.2012 11:35 28312]

S4 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]

.

Inhalt des "geplante Tasks" Ordners

.

2012-11-08 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-08 03:52]

.

2012-11-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-08 05:03]

.

2012-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2012-11-08 05:03]

.

2012-11-05 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]

.

2012-11-08 c:\windows\Tasks\MP Scheduled Scan.job

- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

.

2012-11-08 c:\windows\Tasks\User_Feed_Synchronization-{432521A2-5F0C-4696-8111-90E5A28735F3}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

.

2012-11-08 c:\windows\Tasks\User_Feed_Synchronization-{CB42F685-D767-4C5E-8034-C7F0F2B347A3}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

.

2012-11-08 c:\windows\Tasks\User_Feed_Synchronization-{F423D00A-040C-4E75-B52E-BC905A120501}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: Interfaces\{78E83C1F-29C3-4832-8E17-6BFF701E1B0A}: NameServer = 192.168.0.5,192.168.0.1

TCP: Interfaces\{8E533E79-714A-43AC-A75D-855956225F4D}: NameServer = 192.168.0.5,192.168.0.1

DPF: {82E5DF24-51E8-47CD-864A-F4BD5005AA73} - hxxps://www.icloud.com/system/iCloud.cab

.

.

------- Dateityp-Verknüpfung -------

.

vbefile\shell\open2\command=%SystemRoot%\System32\CScript.exe "%1" %*

vbsfile\shell\open2\command=%SystemRoot%\System32\CScript.exe "%1" %*

jsefile\shell\open2\command=%SystemRoot%\System32\CScript.exe "%1" %*

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-UnlockerAssistant - c:\programme\Unlocker\UnlockerAssistant.exe

SafeBoot-89436400.sys

AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe

AddRemove-KEAVTV5.10 - c:\windows\unin0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-11-08 20:34

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2012-11-08  20:36:02

ComboFix-quarantined-files.txt  2012-11-08 19:36

.

Vor Suchlauf: 8 Verzeichnis(se), 10.752.258.048 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 10.948.669.440 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

.

- - End Of File - - 724446DDDC5628FECB3B72C9B8819178

Sicherheitscenter ist immer noch deaktiviert und Antivirus lässt sich nicht starten, zur Info :)

starte mal neu und gucke obs dann geht

Läuft wieder alles! Vielen Vielen Dank!!

Was war denn das überhaupt? Evtl. eine kruze Info! :)

Muss ich eigentlich noch was machen?

Oder sind wir schon komplett fertig?

hi
lade den CCleaner standard:
http://filepony.de/download-ccleaner/
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Code:

Adobe Flash Player 11 ActiveX        Adobe Systems Incorporated        03.11.2012                11.4.402.287 - Ich denke notwendig

Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        03.11.2012                11.4.402.287 - Ich denke notwendig

Adobe Reader X (10.1.4) - Deutsch        Adobe Systems Incorporated        22.09.2012        179,00MB        10.1.4 - Ich denke notwendig

Apple Software Update        Apple Inc.        09.08.2012        2,38MB        2.1.3.127 - Notwendig

CCleaner        Piriform        24.10.2012                3.24 - Notwendig?

High Definition Audio Driver Package - KB888111        Microsoft Corporation        14.08.2008                20040219.000000 - notwendig

Intel(R) Graphics Media Accelerator Driver        Intel Corporation        22.07.2010                6.14.10.5179 - notwendig

Java 7 Update 7        Oracle        31.08.2012        128,00MB        7.0.70 - notwendig

Java(TM) 6 Update 32        Oracle        12.05.2012        91,87MB        6.0.320 - notwendig

JavaFX 2.1.1        Oracle Corporation        09.08.2012        20,88MB        2.1.1 - notwendig

KM-NET for Direct Printing        KYOCERA MITA Corporation        08.09.2009                2.3.0819 - notwendig

KM-NET VIEWER        KYOCERA MITA Corporation        08.09.2009                4.6.0904 - notwendig

Kyocera Product Library        Kyocera Mita Corporation        21.04.2012                2.0.0713 - notwendig

Logitech Alert Commander        Ihr Firmenname        18.10.2012        86,25MB        3.2.181 - notwendig

Malwarebytes Anti-Malware Version 1.65.1.1000        Malwarebytes Corporation        04.11.2012                1.65.1.1000 - notwendig

MapServer 5 COM-Module                30.01.2011                - notwendig

Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        13.06.2012        184,00MB        2.2.30729 - unbekannt

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        18.10.2012        6,30MB        2.2.30729 - unbekannt

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - ESN        Microsoft Corporation        18.10.2012        6,23MB        2.2.30729 - unbekannt

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA        Microsoft Corporation        18.10.2012        6,30MB        2.2.30729 - unbekannt

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - ITA        Microsoft Corporation        18.10.2012        6,20MB        2.2.30729 - unbekannt

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - NLD        Microsoft Corporation        18.10.2012        6,20MB        2.2.30729 - unbekannt

Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        12.05.2012        239,00MB        3.2.30729 - unbekannt

Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        12.05.2012                 - unbekannt

Microsoft Office 2003 German User Interface Pack        Microsoft Corporation        28.05.2009        268,00MB        11.0.8173.0 - notwendig

Microsoft Office Access 2003 Developer Extensions        Microsoft Corporation        27.03.2008        8,66MB        11.0.5614.0 - notwendig

Microsoft Office Enterprise 2007        Microsoft Corporation        11.10.2012                12.0.6612.1000 - notwendig

Microsoft Office File Validation Add-In        Microsoft Corporation        16.09.2011        11,21MB        14.0.5130.5003 - notwendig

Microsoft Office Live Add-in 1.5        Microsoft Corporation        21.04.2012        0,49MB        2.0.4024.1 - notwendig

Microsoft Office Professional Edition 2003        Microsoft Corporation        11.10.2012        939,00MB        11.0.8173.0 - notwendig

Microsoft Security Essentials        Microsoft Corporation        05.11.2012                4.1.522.0 - notwendig

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        04.11.2010        0,11MB        8.0.50727.4053 - unbekannt

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        17.06.2011        5,28MB        8.0.61001 - unbekannt

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148        Microsoft Corporation        29.07.2009        0,15MB        9.0.30729.4148 - unbekannt

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        19.03.2009        15,10MB        9.0.30729 - unbekannt

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        31.03.2010        10,19MB        9.0.30729.4148 - unbekannt

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        17.06.2011        10,20MB        9.0.30729.6161 - unbekannt

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        25.11.2011        14,97MB        10.0.40219 - unbekannt 

MSXML 4.0 SP2 (KB936181)        Microsoft Corporation        14.11.2007        2,64MB        4.20.9848.0 - unbekannt

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        13.11.2008        2,69MB        4.20.9870.0 - unbekannt

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        25.11.2009        2,77MB        4.20.9876.0 - unbekannt

MSXML 6.0 Parser (KB933579)        Microsoft Corporation        14.11.2007        1,34MB        6.10.1200.0 - unbekannt

NVIDIA Drivers                30.01.2011                - notwendig

PDF24 Creator 3.2.0        PDF24.org        04.07.2011                - notwendig

REALTEK GbE & FE Ethernet PCI-E NIC Driver        Realtek        22.07.2010                1.26.0000 - notwendig

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        22.07.2010                5.10.0.5998 - notwendig

Security Update for Windows Search 4 - KB963093        Microsoft Corporation        29.11.2011 - Ich denke notwendig                

Taximap (nur entfernen)                27.10.2012                - Notwendig

TightVNC 1.3.10        TightVNC Group        10.02.2010                1.3.10 - unbekannt

Unity Web Player        Unity Technologies ApS        08.11.2012                - unbekannt

Windows Defender        Microsoft Corporation        24.11.2011        8,80MB        1.1.1593.21 - ich denke notwendig 

Windows Internet Explorer 8        Microsoft Corporation        24.11.2011                20090308.140743 - notwendig

Windows Live Anmelde-Assistent        Microsoft Corporation        27.11.2010        1,93MB        5.000.818.5 - notwendig

Windows Live Essentials        Microsoft Corporation        27.11.2010                14.0.8117.0416 - notwendig

Windows Live-Uploadtool        Microsoft Corporation        27.11.2010        0,22MB        14.0.8014.1029 - notwendig

Windows Media Format 11 runtime                23.07.2008        - notwendig

Windows Media Player 11                23.07.2008                - notwendig

Windows XP Service Pack 3        Microsoft Corporation        23.07.2008                20080414.031514 - unbekannt

Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)        Advanced Micro Devices        30.01.2011                05/27/2006 1.3.2.0 - unbekannt

Siet eigentlich alles gut aus, ich denke die Liste ist in Ordnung :) Muss nichts weg.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Java : alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Unity
TightVNC : wenn ihr keine fernwartung nutzt, weg.
öffne ccleaner, analysieren, starten, pc neustarten, testen wie er läuft.
es geht mir nicht unbedingt darum, zu deinstalieren, dass ist ein neben efekt, aber Sicherheitslücken zu finden ist nicht unwichtig :-)