|
TR/SESSY von AVIRA Gefunden; Spammails unerwünscht versendet, nicht löschbar Hallo ZUsammen, AVIRA hat folgendes auf dem Rechner meines Vaters gefunden: Type: File Source: C:\System Volume Information\_restore{259B8B89-6888-47FD-A63D-425A272F7C75}\RP1603\A0215238.ini Status: Infected Quarantine object: 52efb45f.qua Restored: NO Uploaded to Avira: NO Operating System: Windows XP/VISTA Workstation/Windows 7 Search engine: 8.02.12.24 Virus definition file: 7.11.70.174 Detection: TR/Sessy.9728 Date/Time: 06.04.2013, 14:10 Die Telekom hatuns bereits darüber informiert, dass von diesem Rechner SPAMMAILS versendet wurden. Leider kann ich SESSY nicht aus der Quarantäne löschen und wiß nicht was ich jetzt tun soll. Anbei alle Infos, die man posten soll. Alle Passwörter haben wir bereits geändert. Was können / Müssen wir jetzt tun? Danke!°!!!!!! OTL logfile created on: 06.04.2013 14:52:47 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\xxx\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 1,66 Gb Available Physical Memory | 55,24% Memory free 3,50 Gb Paging File | 1,96 Gb Available in Paging File | 56,04% Paging File free Paging file location(s): C:\pagefile.sys 672 1344 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 470,69 Gb Total Space | 435,08 Gb Free Space | 92,43% Space Free | Partition Type: NTFS Drive D: | 460,82 Gb Total Space | 410,86 Gb Free Space | 89,16% Space Free | Partition Type: NTFS Computer Name: GERHOLD-738BA4 | User Name: xxx | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.04.06 14:26:19 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\xx\Desktop\gmer_2.1.19163.exe PRC - [2013.04.06 14:21:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe PRC - [2012.12.14 16:49:28 | 000,824,232 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2012.12.01 13:57:50 | 000,148,784 | ---- | M] () -- C:\Programme\Fotobuchexpress24\Fotobuchexpress24.exe PRC - [2012.11.07 20:54:24 | 002,447,440 | ---- | M] (Check Point Software Technologies LTD) -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe PRC - [2012.11.07 20:23:46 | 000,073,392 | ---- | M] (Check Point Software Technologies LTD) -- C:\Programme\CheckPoint\ZoneAlarm\zatray.exe PRC - [2012.11.02 20:17:02 | 000,497,320 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe PRC - [2012.11.02 20:16:26 | 000,738,984 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ForceField.exe PRC - [2012.08.09 12:20:46 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.08 17:26:34 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.08 17:26:33 | 000,391,632 | ---- | M] (Avira Operations GmbH & Co. KG) -- c:\Programme\Avira\AntiVir Desktop\avcenter.exe PRC - [2012.05.08 17:26:33 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.08 17:26:33 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.10.07 11:40:42 | 001,387,288 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPointP\SetPoint.exe PRC - [2011.09.27 21:05:24 | 000,149,784 | ---- | M] (Logitech, Inc.) -- C:\Programme\Gemeinsame Dateien\LogiShrd\KHAL3\KHALMNPR.exe PRC - [2010.04.05 12:55:01 | 000,116,104 | ---- | M] () -- C:\Programme\Canon\IJPLM\ijplmsvc.exe PRC - [2010.04.02 10:18:54 | 001,185,112 | ---- | M] (CANON INC.) -- C:\Programme\Canon\Solution Menu EX\CNSEMAIN.EXE PRC - [2010.03.24 19:50:00 | 002,516,296 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.06.23 12:24:12 | 000,343,552 | ---- | M] (AVM Berlin GmbH) -- C:\Programme\avmwlanstick\FRITZWLanMini.exe PRC - [2005.09.23 17:07:00 | 007,551,077 | ---- | M] (Mozilla.org) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe PRC - [2003.05.19 17:39:16 | 000,081,920 | ---- | M] () -- C:\WINDOWS\Dit.exe PRC - [2003.03.20 15:47:08 | 000,061,440 | ---- | M] () -- C:\WINDOWS\DitExp.exe PRC - [2002.05.03 11:47:46 | 000,069,632 | ---- | M] (Ulead Systems, Inc.) -- C:\Programme\Ulead Photo Express 4.0 SE\CalCheck.exe PRC - [2001.03.15 08:18:18 | 000,049,254 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe ========== Modules (No Company Name) ========== MOD - [2013.04.06 14:26:19 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\gmer_2.1.19163.exe MOD - [2013.02.13 13:49:59 | 011,817,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\e143370f0583abe015d8e3d2d536185e\System.Web.ni.dll MOD - [2013.02.13 13:46:53 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ba12e418b906593b7c9c18f971f36bf9\System.Windows.Forms.ni.dll MOD - [2013.02.13 13:41:01 | 000,303,104 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll MOD - [2013.01.11 11:32:58 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\96b7a0136e9e72e8f4eb0230c20766d2\System.Configuration.ni.dll MOD - [2013.01.11 11:32:16 | 000,025,600 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\cbee94ec6a0fe649e3b4643cea6e1259\Accessibility.ni.dll MOD - [2013.01.11 11:22:39 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll MOD - [2013.01.11 11:22:21 | 001,593,856 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll MOD - [2013.01.11 11:21:06 | 007,977,984 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll MOD - [2013.01.11 11:20:46 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll MOD - [2012.12.28 16:34:58 | 000,315,392 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2012.12.28 16:34:51 | 000,434,176 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll MOD - [2012.12.18 16:28:26 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU MOD - [2012.12.01 13:57:50 | 000,148,784 | ---- | M] () -- C:\Programme\Fotobuchexpress24\Fotobuchexpress24.exe MOD - [2012.06.15 09:19:19 | 004,772,768 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\WebKit.dll MOD - [2012.05.08 17:26:34 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.10.07 11:41:16 | 000,879,896 | ---- | M] () -- C:\Programme\Logitech\SetPointP\Macros\MacroCore.dll MOD - [2010.08.25 22:44:50 | 000,270,336 | ---- | M] () -- C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll MOD - [2010.04.12 17:59:16 | 001,552,384 | R--- | M] () -- C:\Programme\ATI Technologies\ATI.ACE\Branding\Branding.dll MOD - [2010.04.05 12:55:01 | 000,116,104 | ---- | M] () -- C:\Programme\Canon\IJPLM\ijplmsvc.exe MOD - [2010.03.16 13:22:12 | 000,014,848 | ---- | M] () -- C:\Programme\ATI Technologies\ATI.ACE\Core-Static\AxInterop.WBOCXLib.dll MOD - [2008.04.14 04:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2006.09.16 22:19:36 | 000,126,976 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2005.09.23 17:07:00 | 000,139,395 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldap32v50.dll MOD - [2005.09.23 17:07:00 | 000,024,711 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldappr32v50.dll MOD - [2003.05.19 17:39:16 | 000,081,920 | ---- | M] () -- C:\WINDOWS\Dit.exe MOD - [2003.03.20 15:47:08 | 000,061,440 | ---- | M] () -- C:\WINDOWS\DitExp.exe ========== Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2013.03.14 15:24:20 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.13 18:49:58 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.11.07 20:54:24 | 002,447,440 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon) SRV - [2012.11.02 20:17:02 | 000,497,320 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc) SRV - [2012.05.08 17:26:34 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.08 17:26:33 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.09.27 21:03:28 | 000,295,192 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe -- (LBTServ) SRV - [2011.02.02 12:00:32 | 000,052,288 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) SRV - [2010.04.05 12:55:01 | 000,116,104 | ---- | M] () [Auto | Running] -- C:\Programme\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\CDriver.sys -- (MSICDSetup) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\GERHOL~1\LOKALE~1\Temp\fwldqkob.sys -- (fwldqkob) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\GERHOL~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXWDM.SYS -- (ALCXWDM) DRV - [2013.04.06 14:12:51 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2012.11.07 20:23:46 | 000,527,408 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (Vsdatant) DRV - [2012.11.02 20:17:16 | 000,027,056 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL) DRV - [2012.05.08 17:26:34 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.08 17:26:34 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.12.15 16:00:35 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.09.02 08:31:28 | 000,039,192 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2011.09.02 08:31:28 | 000,030,360 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt) DRV - [2011.09.02 08:31:20 | 000,041,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2011.09.02 08:30:58 | 000,012,184 | ---- | M] (Logitech, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE) DRV - [2010.08.26 05:33:38 | 005,386,752 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2010.08.19 12:41:58 | 000,101,904 | R--- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.08 18:16:26 | 006,056,040 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2010.02.24 12:22:10 | 000,185,472 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11) DRV - [2009.11.18 08:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 08:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2009.06.30 18:31:00 | 000,164,896 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvgts.sys -- (nvgts) DRV - [2009.06.18 04:07:37 | 000,013,696 | R--- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS) DRV - [2008.08.01 12:36:26 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2008.08.01 12:36:20 | 000,054,784 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2007.04.16 17:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM) DRV - [2006.04.24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvatabus.sys -- (nvatabus) DRV - [2006.04.06 02:00:00 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB) DRV - [2004.12.10 12:48:46 | 000,024,704 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidKE.Sys -- (LHidKe) DRV - [2004.12.10 12:48:40 | 000,068,992 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE) DRV - [2004.12.10 12:48:22 | 000,015,744 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LUsbKbd.sys -- (LUsbKbd) DRV - [2004.12.10 12:48:18 | 000,036,480 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidUsbK.sys -- (LHidUsbK) DRV - [2004.12.10 12:48:08 | 000,052,992 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042MOU.SYS -- (L8042mou) DRV - [2004.12.10 12:47:58 | 000,013,056 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042Kbd.sys -- (L8042Kbd) DRV - [2004.08.03 23:31:36 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC) DRV - [2001.10.09 20:11:02 | 000,183,080 | ---- | M] (OmniVision Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\OM518VID.SYS -- (OM518P) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon0.dll (Conduit Ltd.) IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550 IE - HKCU\..\SearchScopes\{D78833D3-9677-44C5-A927-D593A95E7318}: "URL" = hxxp://www.amazon.de/gp/search?search-alias=aps&field-keywords={searchTerms} IE - HKCU\..\SearchScopes\{E04EFFA3-965B-4E35-BBE2-B8244F6A4F6D}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledAddons: ffxtlbr%40zonealarm.com:1.6.0 FF - prefs.js..extensions.enabledAddons: %7B20a82645-c095-46ed-80e3-08825760534b%7D:0.0.0 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:3.3.3.2 FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.232.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.99 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@canon.com/EPPEX: C:\Programme\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.) FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2240: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2298: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1348: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2013.02.23 12:00:55 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.13 18:49:59 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.03.13 18:49:43 | 000,000,000 | ---D | M] [2008.08.28 13:29:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions [2012.11.23 19:17:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\qgbsn29q.default\extensions [2011.02.13 12:54:11 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Gerhold Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\qgbsn29q.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2012.08.03 09:28:14 | 000,000,000 | ---D | M] (zonealarm.com) -- C:\Dokumente und Einstellungen\Gerhold Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\qgbsn29q.default\extensions\ffxtlbr@zonealarm.com [2011.05.09 10:33:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Gerhold Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\qgbsn29q.default\extensions\nostmp [2013.03.13 18:49:34 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.08.23 10:34:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2013.03.13 18:49:59 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.07 08:48:41 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2013.03.12 14:27:33 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2013.03.12 14:27:33 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2013.03.12 14:27:33 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2013.03.12 14:27:33 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2013.03.12 14:27:32 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2013.03.12 14:27:32 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.16 09:03:13 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Zonealarm Helper Object) - {2A841F7A-A014-4DA5-B6D9-8B913DFB7A8C} - C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\bh\zonealarm.dll (Montera Technologeis LTD) O2 - BHO: (Canon Easy-WebPrint EX BHO) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Programme\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} - C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\zonealarmTlbr.dll (Montera Technologeis LTD) O3 - HKLM\..\Toolbar: (Canon Easy-WebPrint EX) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon0.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLanMini.exe (AVM Berlin GmbH) O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Programme\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.) O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe () O4 - HKLM..\Run: [EvtMgr6] C:\Programme\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.) O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [ZoneAlarm] C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (Adobe Systems Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Photo Express 4.0 SE\CalCheck.exe (Ulead Systems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O15 - HKCU\..Trusted Domains: microsoft.com ([update] http in Trusted sites) O15 - HKCU\..Trusted Domains: microsoft.com ([update] https in Trusted sites) O15 - HKCU\..Trusted Domains: microsoft.com ([windowsupdate] http in Trusted sites) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198319881890 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1350632264015 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{38CE20BA-2D16-483D-AF3C-0936AC226265}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\LBTWlgn: DllName - (c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\monitor bild.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\monitor bild.bmp O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2005.06.29 11:03:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{616dfb22-c4c6-11e0-a4c6-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{616dfb22-c4c6-11e0-a4c6-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{616dfb22-c4c6-11e0-a4c6-806d6172696f}\Shell\AutoRun\command - "" = E:\DVDSetup.exe O33 - MountPoints2\{e6d55338-a7a1-11db-98f7-a6a8dad7c92f}\Shell - "" = AutoRun O33 - MountPoints2\{e6d55338-a7a1-11db-98f7-a6a8dad7c92f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{e6d55338-a7a1-11db-98f7-a6a8dad7c92f}\Shell\AutoRun\command - "" = O:\pushinst.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.04.06 14:21:42 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe [2013.04.06 14:12:51 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2013.04.05 12:33:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes [2013.04.05 12:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2013.04.05 12:32:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2013.04.05 12:32:15 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2013.04.05 12:32:15 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2013.03.31 12:03:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth [2013.03.13 18:49:32 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.04.06 14:56:03 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2013.04.06 14:26:19 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\gmer_2.1.19163.exe [2013.04.06 14:25:11 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable [2013.04.06 14:22:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.04.06 14:21:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe [2013.04.06 14:12:51 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2013.04.06 13:56:00 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2013.04.06 13:11:20 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Microsoft Word.lnk [2013.04.06 11:19:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.04.06 09:51:10 | 000,517,850 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.04.06 09:51:10 | 000,473,038 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.04.06 09:51:10 | 000,101,090 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.04.06 09:51:10 | 000,076,132 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.04.05 12:32:29 | 000,000,765 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk [2013.04.05 10:23:25 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.03.31 12:03:36 | 000,001,896 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2013.03.29 14:17:33 | 000,000,240 | ---- | M] () -- C:\WINDOWS\KTEL.INI [2013.03.26 19:32:03 | 000,002,531 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Microsoft PowerPoint.lnk [2013.03.26 19:27:15 | 000,000,141 | ---- | M] () -- C:\WINDOWS\cdplayer.ini [2013.03.19 11:23:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2013.03.13 13:54:06 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2013.03.12 14:43:58 | 000,151,446 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\untitled.bmp [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.04.06 14:26:16 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxDesktop\gmer_2.1.19163.exe [2013.04.06 14:25:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable [2013.04.05 12:32:29 | 000,000,765 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk [2013.03.31 12:03:36 | 000,001,896 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2013.03.12 14:43:58 | 000,151,446 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\untitled.bmp [2012.04.06 19:11:11 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.02.15 09:23:14 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2009.03.25 13:41:27 | 010,010,624 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Sent.snm [2009.03.25 13:41:04 | 000,797,328 | ---- | C] () -- C:\Dokumente und Einstellungen\xx\Inbox.snm [2007.03.18 22:07:22 | 000,015,428 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\RefEdit.exd [2006.02.16 09:10:53 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2005.12.25 18:28:09 | 000,123,904 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2010.01.12 12:06:55 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 04:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.08.03 12:43:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.08.03 12:56:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonEPP [2012.08.03 13:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJ [2012.08.03 13:15:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEPPEX [2012.08.03 12:56:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEPPEX2 [2012.08.03 12:51:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJMSetup [2012.08.03 12:56:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJMyPrinter [2013.04.01 13:57:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM [2012.08.03 13:07:53 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJScan [2012.08.03 12:56:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSolutionMenuEX [2012.08.03 12:48:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJWSpt [2012.08.03 09:16:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint [2008.09.01 09:26:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2012.12.01 13:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2005.12.25 14:55:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2005.12.25 15:04:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ACD Systems [2006.01.08 18:17:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ACDInTouch [2013.01.07 11:50:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Canon [2012.08.03 12:51:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Canon Easy-WebPrint EX [2012.08.03 13:15:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CD-LabelPrint [2012.08.03 09:23:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Check Point Software Technologies LTD [2012.08.03 09:28:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CheckPoint [2012.06.15 09:20:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Fotobuchexpress24 [2005.12.24 16:50:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InterTrust [2010.08.14 10:51:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Leadertech [2011.08.20 12:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ProtectDISC [2005.12.25 15:54:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird [2005.12.25 14:55:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ulead Systems [2012.12.29 13:06:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Windows Desktop Search [2012.12.31 16:27:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Windows Search [2005.12.25 20:43:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\XnView ========== Purity Check ========== < End of report > OTL Extras logfile created on: 06.04.2013 14:52:47 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\xx\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 1,66 Gb Available Physical Memory | 55,24% Memory free 3,50 Gb Paging File | 1,96 Gb Available in Paging File | 56,04% Paging File free Paging file location(s): C:\pagefile.sys 672 1344 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 470,69 Gb Total Space | 435,08 Gb Free Space | 92,43% Space Free | Partition Type: NTFS Drive D: | 460,82 Gb Total Space | 410,86 Gb Free Space | 89,16% Space Free | Partition Type: NTFS Computer Name: xxx| User Name: xxx | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\ACDSee.exe" "%1" (ACD Systems, Ltd.) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [SCHLECKER Foto Digital Service] -- "C:\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 1 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring" = 1 ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 0 "DoNotAllowExceptions" = 0 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "C:\Programme\Messenger\msmsgs.exe" = C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger -- (Microsoft Corporation) "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation) "C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0163EC68-18BE-04A0-E4DC-0DEDB514AE6B}" = CCC Help Spanish "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "{0DCC5C09-24FF-5E4B-335E-5ED2ED3B1270}" = ATI Catalyst Install Manager "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MG5200_series" = Canon MG5200 series MP Drivers "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{239222F6-3655-5BCF-641D-817EB610D746}" = Skins "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31 "{2E07388A-E1A9-4245-A471-D842B8C54E98}_is1" = Texas Hold ‘Em Poker Deluxe 1.0 "{315FFEFC-4BF6-9897-2B27-E08F6F8BA129}" = CCC Help Swedish "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{39F068BC-CE2C-4564-81E2-8E19219F9A65}" = ACDSee 3.1 (SR-1) Standard "{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3C51B17C-F07A-4974-A9E3-76853CD4B62D}_is1" = Skat Deluxe 1.0 "{3E63E473-B8E2-4340-AD77-46AC3BA7D6B6}" = Catalyst Control Center - Branding "{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg "{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}" = NVIDIA PhysX "{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger "{468D22C0-8080-11E2-B86E-B8AC6F98CCE3}" = Google Earth "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{50FC66C8-0CCE-4C8F-97FC-60C9667F3FFD}" = TerraCam USB Pro "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{5651BF21-2198-B829-FCFC-6A20EAFD33AF}" = CCC Help Norwegian "{56C356CD-E772-0A17-6AD0-710D931BDA0E}" = Catalyst Control Center Graphics Previews Common "{581083D2-E014-EB85-17CB-1C39A57C8710}" = Fotobuchexpress24 Bestellsoftware "{5EA35B57-F6A0-8894-7168-640F48FC755D}" = ccc-utility "{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call "{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0 "{65CB4C08-C47B-4A7E-A6A4-50C06ADA5FC6}" = Adobe AIR "{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{6B640288-8A9C-B313-AC16-9550C4963554}" = CCC Help English "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{716B6F10-0778-D2A6-164D-86B6061FBEF3}" = CCC Help Japanese "{7601C2B5-69C9-33DC-96E3-F4A4F234BCB6}" = Catalyst Control Center InstallProxy "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7757BEAF-F24F-3716-EBB5-97EC1C7098EF}" = ATI MCE Encoder "{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update "{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime "{802B72EF-EB2E-8E30-0711-AB6B003A7F92}" = CCC Help Chinese Standard "{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9B635D29-5E8C-4436-CEC6-7F4599797C57}" = CCC Help German "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support "{A8821E1A-6ECF-7B80-69DD-D31EF7BBADFA}" = CCC Help Dutch "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch "{AD32654E-90CF-42F2-8CB3-88DA6F1AA11A}" = ZoneAlarm Security "{B21BAE3F-FBAE-BCAC-21DA-076A8307AD22}" = Catalyst Control Center Localization All "{B61049A7-649D-7558-DCA6-CF3AFF83924E}" = CCC Help French "{BBC0D330-C37B-4472-BFB9-AA217CF0C95F}" = Ulead Photo Express 4.0 SE "{BC68BA45-26EE-0E5F-E5F7-F332802FF7A0}" = CCC Help Finnish "{BEE64C14-BEF1-4610-8A68-A16EAA47B882}" = Futuremark SystemInfo "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver "{C17E3D57-5359-797B-ED11-4561D0FBA90A}" = ccc-core-static "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{DB257AA0-D8A3-FDBF-52E7-EDD7823002DD}" = CCC Help Chinese Traditional "{DCCB100F-4116-1124-0EEC-3BDF1242A2F0}" = HydraVision "{E25ED28D-3F3F-4707-8DFA-66CA75FB9329}" = ZoneAlarm Firewall "{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E642EB08-C004-9553-004F-395518878251}" = CCC Help Danish "{EA1CB7AC-E221-4822-A789-0ADB051DC498}" = Multi-Card Reader & Flash Disk "{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS "{F09F5013-FE34-0B2D-2CA8-2193560BB692}" = ATI AVIVO Codecs "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5 "{F4DFF812-754C-7ADF-5CCE-13221E69073D}" = CCC Help Italian "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Agrar Simulator 2011" = Agrar Simulator 2011 "Avira AntiVir Desktop" = Avira Free Antivirus "Canon MG5200 series Benutzerregistrierung" = Canon MG5200 series Benutzerregistrierung "CANONIJPLM100" = Canon Inkjet Printer/Scanner/Fax Extended Survey Program "CanonMyPrinter" = Canon My Printer "CanonSolutionMenuEX" = Canon Solution Menu EX "Easy-PhotoPrint EX" = Canon Easy-PhotoPrint EX "Easy-WebPrint EX" = Canon Easy-WebPrint EX "Emergency 2012" = Emergency 2012 "Fotobuchexpress24" = Fotobuchexpress24 Bestellsoftware "hp deskjet 3600 series_Driver" = hp deskjet 3600 series "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "klickTel Oktober 2001" = klickTel Oktober 2001 - 32-Bit "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100 "MediaNavigation.CDLabelPrint" = CD-LabelPrint "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de) "Mozilla Thunderbird (1.0.7)" = Mozilla Thunderbird (1.0.7) "MozillaMaintenanceService" = Mozilla Maintenance Service "MP Navigator EX 4.0" = Canon MP Navigator EX 4.0 "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NeroMultiInstaller!UninstallKey" = Nero Suite "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "NVIDIA Drivers" = NVIDIA Drivers "OpenAL" = OpenAL "ProtectDisc Driver 11" = ProtectDisc Driver, Version 11 "RealPlayer 6.0" = RealPlayer "SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service "SP6" = Logitech SetPoint 6.32 "ThumbsPlus2000" = ThumbsPlus 2000-SE "Totalcmd" = Total Commander (Remove or Repair) "Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9 "Windows CE Services" = Microsoft ActiveSync 3.7 "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials "WinRAR archiver" = WinRAR Archivierer "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XnView_is1" = XnView 1.80.3 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 "ZoneAlarm Free Firewall" = ZoneAlarm Free Firewall "ZoneAlarm LTD Toolbar" = ZoneAlarm LTD Toolbar "ZoneAlarm Security Toolbar" = ZoneAlarm Security Toolbar ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 16.02.2013 08:01:08 | Computer Name = xxx| Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 21.02.2013 03:49:56 | Computer Name = xxx| Source = Windows Search Service | ID = 3013 Description = Eintrag <C:\CONFIG.MSI\3166F.RBS> in der Hash-Zuordnung kann nicht aktualisiert werden. Kontext: Anwendung, SystemIndex Katalog Details: Ein an das System angeschlossenes Gerät funktioniert nicht. (0x8007001f) Error - 23.02.2013 05:59:04 | Computer Name = xxx| Source = Windows Search Service | ID = 3013 Description = Eintrag <C:\CONFIG.MSI\5DA2AA.RBS> in der Hash-Zuordnung kann nicht aktualisiert werden. Kontext: Anwendung, SystemIndex Katalog Details: Ein an das System angeschlossenes Gerät funktioniert nicht. (0x8007001f) Error - 23.02.2013 05:59:19 | Computer Name = xxx| Source = Windows Search Service | ID = 3013 Description = Eintrag <C:\CONFIG.MSI\5DA2EB.RBS> in der Hash-Zuordnung kann nicht aktualisiert werden. Kontext: Anwendung, SystemIndex Katalog Details: Ein an das System angeschlossenes Gerät funktioniert nicht. (0x8007001f) Error - 17.03.2013 04:36:10 | Computer Name = xxx| Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 24.03.2013 05:50:55 | Computer Name = xxxxxxx| Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 28.03.2013 15:28:53 | Computer Name = xxx| Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 30.03.2013 05:27:24 | Computer Name = xxx| Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 04.04.2013 02:39:43 | Computer Name = xxx| Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 06.04.2013 03:48:27 | Computer Name = xx| Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. [ System Events ] Error - 05.04.2013 04:03:08 | Computer Name = xxx| Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Gatewaydienst auf Anwendungsebene. Error - 05.04.2013 04:04:03 | Computer Name = xxx| Source = Service Control Manager | ID = 7000 Description = Der Dienst "Gatewaydienst auf Anwendungsebene" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 05.04.2013 04:04:36 | Computer Name = xxx| Source = DCOM | ID = 10010 Description = Der Server "{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 05.04.2013 07:53:42 | Computer Name = xxx| Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: nvatabus uagp35 Error - 06.04.2013 03:48:27 | Computer Name = xxx| Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst WMI-Leistungsadapter. Error - 06.04.2013 03:48:28 | Computer Name = xxx| Source = Service Control Manager | ID = 7000 Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 06.04.2013 03:49:03 | Computer Name = xxx| Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste. Error - 06.04.2013 03:49:03 | Computer Name = xxx| Source = Service Control Manager | ID = 7000 Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 06.04.2013 03:49:37 | Computer Name = xxx| Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Gatewaydienst auf Anwendungsebene. Error - 06.04.2013 03:49:37 | Computer Name = xxx| Source = Service Control Manager | ID = 7000 Description = Der Dienst "Gatewaydienst auf Anwendungsebene" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 < End of report > GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-04-06 16:12:09 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 WDC_WD10 rev.80.0 931,51GB Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\GERHOL~1\LOKALE~1\Temp\fwldqkob.sys ---- System - GMER 2.1 ---- SSDT A4937B94 ZwClose SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort [0xA9362346] SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile [0xA935C5E4] SSDT A4937B4E ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort [0xA9362AD2] SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess [0xA9375FAA] SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx [0xA9376398] SSDT A4937B9E ZwCreateSection SSDT A4937B44 ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort [0xA9362C08] SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile [0xA935D1FA] SSDT A4937B53 ZwDeleteKey SSDT A4937B5D ZwDeleteValueKey SSDT A4937B8F ZwDuplicateObject SSDT \SystemRoot\System32\vsdatant.sys ZwLoadDriver [0xA9357F08] SSDT A4937B62 ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey2 [0xA937DD9E] SSDT \SystemRoot\System32\vsdatant.sys ZwMapViewOfSection [0xA937FE8E] SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile [0xA935CE0C] SSDT A4937B30 ZwOpenProcess SSDT A4937B35 ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys ZwProtectVirtualMemory [0xA938C51A] SSDT A4937BB7 ZwQueryValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwRenameKey [0xA937EB2C] SSDT A4937B6C ZwReplaceKey SSDT A4937BA8 ZwRequestWaitReplyPort SSDT A4937B67 ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort [0xA93625EE] SSDT A4937BA3 ZwSetContextThread SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile [0xA935D5BE] SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationObject [0xA938C406] SSDT A4937BAD ZwSetSecurityObject SSDT \SystemRoot\System32\vsdatant.sys ZwSetSystemInformation [0xA93576C8] SSDT A4937B58 ZwSetValueKey SSDT A4937BB2 ZwSystemDebugControl SSDT A4937B3F ZwTerminateProcess SSDT \SystemRoot\System32\vsdatant.sys ZwUnloadDriver [0xA935831C] INT 0x01 \??\C:\DOKUME~1\GERHOL~1\LOKALE~1\Temp\fwldqkob.sys 9EC6D50B ---- Kernel code sections - GMER 2.1 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2C94 8050458C 12 Bytes [D2, 2A, 36, A9, AA, 5F, 37, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2D60 80504658 12 Bytes [08, 7F, 35, A9, 62, 7B, 93, ...] .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF556D000, 0x273B67, 0xE8000020] .vmp2 C:\WINDOWS\system32\drivers\acedrv11.sys entry point in ".vmp2" section [0xA115569D] ---- User code sections - GMER 2.1 ---- .text C:\Programme\CheckPoint\ZAForceField\ForceField.exe[204] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\WINDOWS\system32\SearchIndexer.exe[1128] kernel32.dll!WriteFile 7C8112FF 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL .text C:\Programme\CheckPoint\ZAForceField\IswSvc.exe[1892] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3408] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3608] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[3720] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5008] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5540] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5860] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!DefDlgProcW + 56E 7E3742A8 5 Bytes JMP 20CB9266 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954ED C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D467C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136724F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367181 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671EC C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41367052 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413670B4 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413672B2 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41367116 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[5868] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 413675D0 C:\WINDOWS\system32\IEFRAME.dll ---- Devices - GMER 2.1 ---- Device \FileSystem\Udfs \UdfsCdRom 9EAA2C84 Device \FileSystem\Udfs \UdfsDisk 9EAA2C84 Device \Driver\Tcpip \Device\Ip vsdatant.sys Device \Driver\Tcpip \Device\Tcp vsdatant.sys Device \Driver\Tcpip \Device\Udp vsdatant.sys Device \Driver\Tcpip \Device\RawIp vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys ---- Registry - GMER 2.1 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7040110900063D11C8EF00054038389C\Usage@SpellingAndGrammarFiles_1031 1116099914 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt@MRUList fedcba ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ---- Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.06.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Gerhold Lars :: GERHOLD-738BA4 [Administrator] Schutz: Aktiviert 06.04.2013 14:13:25 mbam-log-2013-04-06 (14-13-25).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 210829 Laufzeit: 9 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
Hallo buddybradley und :hallo: Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten. Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich. Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist. Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.  Hinweise zum Ablauf
Schauen wir mal: Schritt 1 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 2 Warnung für Mitleser: Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 3 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
|
Vielen Dank für die Antwort - hier die LOG FILES. Es wäre großartig, bald Rückmeldung zu bekommen; da ich heute abreisen muss und mein Vater dann ohne jedwede Ahnung mit einem infizierten Rechner da sitzen würde ... Danke Euch ! AdwCleaner Logfile: Code: # AdwCleaner v2.200 - Datei am 07/04/2013 um 10:40:53 erstellt[/code] [code] Combofix Logfile: Code: ComboFix 13-04-06.02 - xxx 07.04.2013 11:06:27.1.2 - x86OTL Logfile: Code: OTL logfile created on: 07.04.2013 11:20:41 - Run 2 |
Hi, ich geb mir Mühe, dass wir heute fertig werden. Und es sieht auch so aus, dass das klappt. Wie läuft der Rechner? Schritt 1
Code: :reg
Schritt 2
Schritt 3 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 4 Starte bitte die OTL.exe.
Schritt 5 Downloade dir bitte SecurityCheck (Link 1, Link 2).
Bitte poste in deiner nächsten Antwort:
|
Hallo nochmal, so, ich habe losgelegt. Ich bin mir nicht sicher, ob ich verstanden, habe wo ich die Anonymisierung wieder rückgängig machen sollte. Ich lasse jetzt einfach in den folgenden Posts den Namen des Rechners drin. In den Codes von Euch habe ich nichts verändert. Der Rechner läuft gut, keine Auffälligkeiten ... jetzt nach und nach die Log Dateien Code: All processes killed |
Hi, Zitat:
Das ist aber nur eine Standardwarnung, welche immer dort steht und in deinem Fall nicht relevant war. Du kannst in deinen geposteten Logs weiterhin die Benutzernamen unkenntlich machen. |
Malwarebytes habe ich den Quick Scan machen lassen; allerdings kamen die Ergebnisse automatisch und konnte nicht sehen, ob "alle Funde" markiert ist "Entferne Auswahl" konnte ich auch nicht drücken. Reicht das hier als Info? Code: Malwarebytes Anti-Malware (Test) 1.70.0.1100 |
Zitat:
Das passt so! |
das ist nicht so gut, befürchte ich ?! C:\System Volume Information\_restore{259B8B89-6888-47FD-A63D-425A272F7C75}\RP1609\A0218037.EXE a variant of Win32/Injector.AEKY trojan |
Ist das der einzige ESET-Fund? Der liegt nur noch in einem Systemwiederherstellungspunkt und ist nicht mehr aktiv. Die verseuchten Wiederherstellungspunkte werden wir zum Schluss noch löschen. Weiter mit Schritt 4 (OTL). |
OTL OTL Logfile: Code: OTL logfile created on: 07.04.2013 16:57:27 - Run 3OTL Logfile: Code: OTL logfile created on: 07.04.2013 16:57:27 - Run 3SOrry, hab OTL eben doppelt gepostet ... hier nun noch Securitycheck: Code: Results of screen317's Security Check version 0.99.62 |
Gut. Jetzt müssen all die alten Softwareversionen runter. Danach räumen wir auf. Schritt 1 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 17.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 2 Dein Firefox ist nicht mehr aktuell. Starte deinen Firefox als Administrator, klicke Hilfe --> Über Firefox und führe das angebotene Update durch. Wiederhole diesen Schritt, bis Firefox als aktuell angezeigt wird. Auch den neuen Thunderbird runterladen, wenn er verwendet wird. Schritt 3 Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
Hallo ! Alles ausgeführt, geupdatet, jetzt lade ich noch Avast; von Avira und Zonealarm habe ich mich getrennt und der wöchentliche Check Malwarebytes wird garantiert passieren. Vielen Dank ! Ich war zum ersten Mal "Kunde" bei Euch und das ist schon ein genialer Service ! Spende ist erfolgt ... |
Danke für die Rückmeldung. Und im Namen des Teams vielen Dank für die Spende! Freut mich, dass wir helfen konnten. :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board