| |
| |||||||
Log-Analyse und Auswertung: TR FakeSysDef.a 570/331 + diverse anomalien (viel zu lesen, aber gutes deutsch!)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.06.2011, 15:31
| #1 |
| Gesperrt |  TR FakeSysDef.a 570/331 + diverse anomalien (viel zu lesen, aber gutes deutsch!) hi  --->dieser satz fiel mir am ende ein: ich verwende XP professional SP2, mit einmalig unschädlich gemachtem Windoof genuine advantage! wo fang ich denn an...am besten hier: also, ich bin seit 10 jahren fähig in beachtenswerter geschwindigkeit rechner zu montieren und grundlegend intelligent einzurichten, will sagen ich bin kein kompletter neuling. ich kann z.b. halbwegs mit BIOS umgehen und hacker zurückverfolgen während sie mich angreifen. hin und wieder tauchen jedoch dinge wie der sasser oder der fakesysdef auf, die mich an den rand der verzweiflung treiben x) dies ist nun, wie mir scheint, 3x gleichzeitig geschehen! ich habe nämlich seit gestern morgen nun schon 3 versch. fakesysdef.a gesichtet, die 3 endziffern waren jeweils unterschiedlich. leider kann ich mich nur an die 2 von heute erinnern, ich hoffe das bereitet keine ketten-schwierigkeiten. die anderen beiden waren 570 und 331, erkannt wurden alle 3 durch kostenloses veraltetes antivir, welches sie allerdings erst minuten nach mir "bemerkte", da mir die vielen rechtschreibfehler, sowie die tatsache das windows nicht wüsste ob ich denn nun eine IDE oder SATA platte verwende, schon bei der ersten "fehlermeldung" äußerst suspekt vorkamen. randbemerkung, evtl zuviel info: problem trat in allen 3 fällen kurz nach dem betreten eines unzucht-portales auf, allerdings bevor eine zerstörbare lust auftrat. übrigens, mein...wie soll ich sagen...kostenloses "zonealarm pro" lässt sich seit geraumer zeit nichtmehr updaten. der rechner an dem ich sitze ist eine "urzeit-kampfmaschine" aus den baujahren 2001/2003, da in den eigentlichen eine größere ladung wasserpfeiffenflüssigkeit geriet (graka schrott). ergo: der momentan benutzte rechner stand lange zeit still oder wurde nur abendeweise für internetlose wc3-lanpartys genutzt, darum war ein update der schutzsoftware nicht zwingend erforderlich (und blieb auch aus wegen beginnendem speichermangel) und jetzt habe ich das (un)lustige problem, das mein ZA mich zwar auf die updateseite verweist, die erforderliche patchdatei allerdings nichtmehr online ist. ich schätze, das dies die letztendliche ursache dafür ist, das ich mir überhaupt was eingefangen habe. zurück zum fsd.a: da ich im ersten moment -vor freude über eine schnelle lösung des trojanerproblems- sofort MBAM, defogger, OTL und unhide heruntergeladen- und ausgeführt habe, befürchte ich nun, ein KLEIN wenig mist gemacht zu haben. MBAM war das erste was ich gemacht habe, dazu folgendes: 1) scan->3 funde->4.fund zeitgleich von antivir bemerkt, ich trottel hab natürlich aus reflex "löschen" gemacht->scan wieder bei 3 funden; nach 28min abbruch aus sorge das nun 1 part iwie durchkommt und sich neu verbreitet. 2)quickscan+gleichzeitiges durchforsten des TB; nach 10min abbruch wegen immernoch 0 funde wo zuvor bereits 2 vorlagen (mein gedanke war das der quickscan nicht so gründlich sei) 3) scan in ruhe durchlaufen lassen->21 funde, u.a. 3 im DLH98 wo ich eigentlich seit jahren keine mehr zu finden glaubte; logfile wird am ende zu finden sein danach habe ich einen OTL-quickscan ohne extra eingegebenen code laufen lassen -im ersten moment gepennt und dann kein abbruch mehr möglich- wobei eine OTL.txt und eine Extras.txt erstellt wurden. hierauf folgte der einsatz des defoggers. zum glück hab ich mir diesmal durchgelesen was dabei zu beachten ist bevor ich es benutzt habe. schief lief trotzdem etwas: nach beenden des scans sollte ein sachgemäßer reboot erfolgen, was allerdings unmöglich war, da sich der rechner seeeeehr sehr SEHR sehr gerne beim herunterfahren aufhängt. irgendwie aber auch nicht, da sich der blau-orangene windowsbalken weiterhin bewegt. und um dem hinweis zuvorzukommen, nein, es bringt nichts ihn einfach mal machen zu lassen, da tut sich auch nach 10std nichts wenn sich in 5min nichts getan hat^^ nunja, die logfile wurde jedenfalls NICHT erstellt und solange sie nicht zwingend erforderlich ist, möchte ich die beiden guten alten festplatten aus zeiten als die dinger noch jahrtausende an lebensdauer hatten nicht unnötig mit zwangsreboots per knopfdruck in weiteren vmtl scheiternden versuchen belasten. nach nun erneutem und diesmal sachgemäßem OTL-einsatz wird mir allerdings nur die OTL.txt angezeigt, weswegen ich die vermutung nahelege, das an der Extras.txt nichts geändert wurde. so. ich bekomme zwar momentan keine fehlermeldungen und frage mich ob MBAM evtl schon alles geregelt hat, da hier allerdings in der anleitung geschrieben wurde man solle sich nicht sicher fühlen bis man vom admin gesegnet wurde, werde ich mich nach einem derart hartnäckigen burschen nicht wohlfühlen bis ebendies geschehen ist achja und noch drei infos: -die herunterfahr-probleme fingen mit demselben boot im letzten oder vorletzten jahr an, mit dem auch der käse losging das ich bei jedem boot für ein nicht-vorhandenes kennwort des einzigen registrierten benutzers anwesend bleiben muss um enter zu drücken. diesen "bug" hatte ich früher nicht; ich vermute dahinter einen unauthorisierten einstellungsverändernden eingriff von außen (wasn satz :P) -ich hatte im jahre...2004? jedenfalls 6 monate nachdem classic-wow released wurde, einen äußerst fießen sassor der nicht wahrwerden ließ das wow gepatcht wurde. er wurde zwar mit den damals üblichen methoden...beseitigt, aber wenn ich mich recht entsinne blieb bei diesen methoden der sassor an sich auf dem rechner. ich finde im taskmanager einen eintrag "lsass.exe" und sorge mich, dass das immernoch dieses ding is. -das ASUS-motherboard hat bereits einen leichten schuss. der mittlere von 3 RAM-steckplätzen ist defekt, sowie der 2. (rechte) USB-anschluss. der schlichte hardwareverlust stört an sich nicht da nicht benötigt, aber evtl ist diese info von interresse. LOGFILES OTL.txt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 06.06.2011 14:43:25 - Run 2 OTL by OldTimer - Version 3.2.23.0 Folder = D:\firefox-downloads Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023.48 Mb Total Physical Memory | 546.03 Mb Available Physical Memory | 53.35% Memory free 3.84 Gb Paging File | 3.38 Gb Available in Paging File | 87.97% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 9.77 Gb Total Space | 1.17 Gb Free Space | 11.96% Space Free | Partition Type: NTFS Drive D: | 78.13 Gb Total Space | 3.21 Gb Free Space | 4.11% Space Free | Partition Type: NTFS Drive E: | 39.06 Gb Total Space | 0.24 Gb Free Space | 0.61% Space Free | Partition Type: NTFS Drive F: | 14.65 Gb Total Space | 3.76 Gb Free Space | 25.68% Space Free | Partition Type: NTFS Drive G: | 44.70 Gb Total Space | 13.40 Gb Free Space | 29.98% Space Free | Partition Type: NTFS Drive I: | 4.31 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: GREYSKULL | User Name: Banehallow | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.06.06 09:27:57 | 000,580,096 | ---- | M] (OldTimer Tools) -- D:\firefox-downloads\OTL.exe PRC - [2011.05.29 09:11:28 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- F:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- F:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2008.11.02 23:40:04 | 000,068,865 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe PRC - [2008.11.02 23:39:47 | 000,151,297 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe PRC - [2008.09.01 15:11:25 | 000,266,497 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe PRC - [2007.12.13 20:27:10 | 000,919,016 | ---- | M] (Zone Labs, LLC) -- C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe PRC - [2007.12.13 20:27:10 | 000,075,304 | ---- | M] (Zone Labs, LLC) -- C:\WINDOWS\system32\ZoneLabs\vsmon.exe PRC - [2007.09.25 01:11:35 | 000,132,496 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_03\bin\jusched.exe PRC - [2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.07.31 02:02:00 | 001,544,192 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe PRC - [2006.07.31 02:02:00 | 000,370,756 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe PRC - [2006.01.17 05:38:10 | 000,135,168 | -H-- | M] () -- F:\Programme\RAM Idle LE\RAM_XP.exe ========== Modules (SafeList) ========== MOD - [2011.06.06 09:27:57 | 000,580,096 | ---- | M] (OldTimer Tools) -- D:\firefox-downloads\OTL.exe MOD - [2006.08.25 17:46:44 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService) SRV - File not found [Auto | Stopped] -- -- (ICQ Service) SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [On_Demand | Stopped] -- -- (DAUpdaterSvc) SRV - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- F:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2008.11.02 23:40:04 | 000,068,865 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler) SRV - [2008.11.02 23:39:47 | 000,151,297 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService) SRV - [2007.12.13 20:27:10 | 000,075,304 | ---- | M] (Zone Labs, LLC) [Auto | Running] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2006.07.31 02:02:00 | 000,370,756 | R--- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service) SRV - [2005.10.10 14:00:00 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2004.10.22 04:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.05.17 15:57:00 | 000,184,320 | ---- | M] (O&O Software GmbH) [Auto | Stopped] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag) ========== Driver Services (SafeList) ========== DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.02.24 23:42:04 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.02.24 23:28:34 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt) DRV - [2010.02.24 23:28:23 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgio.sys -- (avgio) DRV - [2010.02.11 09:38:10 | 003,565,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2010.01.11 04:27:30 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM) DRV - [2009.01.13 01:04:34 | 000,051,176 | ---- | M] (Zone Labs, LLC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\ZoneLabs\srescan.sys -- (srescan) DRV - [2008.12.17 10:08:10 | 000,097,792 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV05.sys -- (ACEDRV05) DRV - [2008.05.02 11:36:36 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2007.12.13 20:27:14 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007.08.16 17:11:57 | 000,120,320 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV65.sys -- (SSHDRV65) DRV - [2006.12.28 02:02:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject) DRV - [2006.10.25 18:21:58 | 000,271,360 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2006.10.25 18:21:47 | 000,018,048 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2006.07.31 02:02:00 | 000,264,704 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB) DRV - [2006.03.26 14:22:14 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x) DRV - [2006.03.24 18:27:01 | 000,050,176 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfsync04.sys -- (sfsync04) StarForce Protection Synchronization Driver (version 4.x) DRV - [2006.03.13 11:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x) DRV - [2005.11.03 16:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x) DRV - [2005.09.06 16:15:00 | 000,071,168 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp) DRV - [2005.08.10 16:06:28 | 000,019,968 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfsync02.sys -- (sfsync02) StarForce Protection Synchronization Driver (version 2.x) DRV - [2004.08.23 14:20:06 | 000,158,720 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus) DRV - [2004.04.30 10:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi) DRV - [2004.03.12 23:41:42 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\d346prt.sys -- (d346prt) DRV - [2004.03.12 23:41:28 | 000,156,800 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d346bus.sys -- (d346bus) DRV - [2002.12.31 14:00:00 | 000,088,448 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx) DRV - [2002.12.31 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb) DRV - [2002.12.31 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx) DRV - [2002.12.05 06:01:00 | 000,241,664 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM) DRV - [2002.12.05 06:01:00 | 000,013,056 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM) DRV - [1999.09.10 12:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (ASPI32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - File not found IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://google.icq.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..browser.startup.homepage: "about:blank" FF - prefs.js..extensions.enabledItems: orbit_ffext@orbitdownloader:2.02 FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.02 05:17:49 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.04.30 16:12:05 | 000,000,000 | ---D | M] [2008.12.12 06:13:47 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Extensions [2011.06.06 02:37:16 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\extensions [2011.04.13 17:53:46 | 000,000,000 | -H-D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2011.06.02 08:05:45 | 000,000,950 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-1.xml [2009.11.16 01:57:51 | 000,000,950 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-2.xml [2009.11.22 16:14:10 | 000,000,950 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-3.xml [2009.12.17 17:04:43 | 000,000,961 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-4.xml [2010.01.07 21:48:48 | 000,000,961 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-5.xml [2010.02.19 11:34:42 | 000,000,961 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-6.xml [2011.04.30 16:12:32 | 000,000,950 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin-7.xml [2011.04.13 17:53:45 | 000,000,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin.gif [2011.04.13 17:53:45 | 000,000,618 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin.src [2010.05.12 17:40:48 | 000,001,042 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Mozilla\Firefox\Profiles\bwdo40bi.default\searchplugins\icqplugin.xml [2011.06.06 02:37:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2006.10.13 17:34:26 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2009.03.16 22:31:46 | 000,000,000 | ---D | M] (Orbit Downloader Firefox Integration) -- D:\PROGRAMME\ORBITDOWNLOADER\ADDONS\ORBITFF [2006.04.28 12:22:26 | 000,719,064 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\Mozilla Firefox\plugins\NpFv415.dll [2010.10.22 07:28:58 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.22 07:28:58 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.22 07:28:58 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.22 07:28:58 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.22 07:28:58 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002.12.31 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (Sun Microsystems, Inc.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - File not found O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll () O3 - HKCU\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll () O4 - HKLM..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin) O4 - HKLM..\Run: [BearFlix] File not found O4 - HKLM..\Run: [CatalystRegistration] File not found O4 - HKLM..\Run: [DAEMON Tools-1033] F:\Programme\D-Tools\daemon.exe (DAEMON'S HOME) O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] F:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [RAM Idle Professional] F:\Programme\RAM Idle LE\RAM_XP.exe () O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O8 - Extra context menu item: &Download by Orbit - D:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: &Grab video by Orbit - D:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Do&wnload selected by Orbit - D:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Down&load all by Orbit - D:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll (Sun Microsystems, Inc.) O9 - Extra Button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.) O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Java Plug-in 1.5.0_10) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Banehallow\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Banehallow\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.10.11 16:54:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2007.05.16 20:13:59 | 001,433,600 | R--- | M] (Cyanide) - I:\AutoRun.exe -- [ CDFS ] O32 - AutoRun File - [2007.04.25 15:33:08 | 000,000,053 | R--- | M] () - I:\Autorun.inf -- [ CDFS ] O33 - MountPoints2\{3c0b06e3-5946-11db-bf64-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{3c0b06e3-5946-11db-bf64-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{3c0b06e3-5946-11db-bf64-806d6172696f}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- [2007.05.16 20:13:59 | 001,433,600 | R--- | M] (Cyanide) O33 - MountPoints2\{b29e3b24-2970-11dc-986c-c4a0ac8e31f1}\Shell - "" = AutoRun O33 - MountPoints2\{b29e3b24-2970-11dc-986c-c4a0ac8e31f1}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b29e3b24-2970-11dc-986c-c4a0ac8e31f1}\Shell\AutoRun\command - "" = N:\pushinst.exe O33 - MountPoints2\{fbb2daef-8b3b-11dc-990b-a44b8d8570be}\Shell - "" = AutoRun O33 - MountPoints2\{fbb2daef-8b3b-11dc-990b-a44b8d8570be}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{fbb2daef-8b3b-11dc-990b-a44b8d8570be}\Shell\AutoRun\command - "" = O:\pushinst.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player 9 ActiveX ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 0 CREATERESTOREPOINT Restore point Set: OTL Restore Point (54619756233228288) ========== Files/Folders - Created Within 30 Days ========== [2011.06.06 09:26:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Malwarebytes [2011.06.06 09:26:06 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.06.06 09:26:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.06.06 09:26:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.06.06 09:26:00 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.06.06 08:41:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Banehallow\Recent [2011.06.06 08:29:19 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Banehallow\Startmenü\Programme\Windows XP Recovery [2011.06.05 01:27:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Cyanide [2010.01.04 02:08:00 | 000,158,720 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys [2010.01.04 02:08:00 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys [2009.12.02 02:42:13 | 000,156,800 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d346bus.sys [2009.12.02 02:42:13 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d346prt.sys [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.06.06 14:36:00 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2011.06.06 14:33:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.06.06 14:33:49 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys [2011.06.06 14:33:43 | 000,178,383 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor [2011.06.06 14:28:40 | 000,000,212 | ---- | M] () -- C:\Dokumente und Einstellungen\Banehallow\defogger_reenable [2011.06.06 08:43:41 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.06.06 08:29:38 | 000,000,866 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Desktop\Windows XP Recovery.lnk [2011.06.06 08:28:53 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15195940 [2011.06.05 01:27:35 | 000,000,732 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Desktop\Loki.lnk [2011.06.05 00:59:50 | 000,149,504 | -H-- | M] () -- C:\Dokumente und Einstellungen\Banehallow\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.06.05 00:08:04 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat [2011.06.03 11:10:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.05.11 17:43:45 | 000,000,109 | ---- | M] () -- C:\WINDOWS\oodcnt.INI [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.06.06 14:28:29 | 000,000,212 | ---- | C] () -- C:\Dokumente und Einstellungen\Banehallow\defogger_reenable [2011.06.06 08:29:38 | 000,000,866 | -H-- | C] () -- C:\Dokumente und Einstellungen\Banehallow\Desktop\Windows XP Recovery.lnk [2011.06.06 08:28:53 | 000,000,336 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15195940 [2011.06.05 01:27:35 | 000,000,732 | -H-- | C] () -- C:\Dokumente und Einstellungen\Banehallow\Desktop\Loki.lnk [2011.04.25 03:30:23 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini [2010.09.16 16:12:45 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\psfind.dll [2010.08.07 16:16:53 | 000,039,792 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.05.11 20:06:15 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2010.05.07 13:08:20 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.01.24 12:56:23 | 000,000,236 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2009.01.08 19:17:26 | 000,000,214 | ---- | C] () -- C:\WINDOWS\ao97pr.ini [2009.01.08 19:12:05 | 000,001,507 | ---- | C] () -- C:\WINDOWS\aoxppr.ini [2008.11.21 23:47:52 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2008.08.24 18:51:28 | 000,017,408 | ---- | C] () -- C:\WINDOWS\Shortcut.exe [2008.02.05 03:14:19 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.02.04 16:38:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2007.10.17 18:56:00 | 000,000,535 | ---- | C] () -- C:\WINDOWS\eReg.dat [2007.10.17 01:08:19 | 000,000,222 | ---- | C] () -- C:\WINDOWS\ClonyDrives.ini [2007.10.03 11:38:11 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2007.10.03 11:38:11 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2007.09.30 22:41:44 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.09.29 04:36:05 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat [2007.09.29 04:36:05 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2007.09.29 04:36:05 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2007.08.26 17:16:58 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2007.08.16 17:11:57 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007.08.10 00:11:29 | 000,000,109 | ---- | C] () -- C:\WINDOWS\oodcnt.INI [2007.08.08 17:13:02 | 000,000,309 | ---- | C] () -- C:\WINDOWS\Clony2.ini [2007.02.16 16:07:27 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2007.01.21 20:29:22 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll [2006.10.31 14:05:26 | 000,000,004 | ---- | C] () -- C:\WINDOWS\info147.sys [2006.10.25 18:21:58 | 000,271,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2006.10.25 18:21:47 | 000,018,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2006.10.16 16:24:36 | 000,121,241 | -H-- | C] () -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Cosmos Prefs [2006.10.13 17:34:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2006.10.13 17:34:14 | 000,003,904 | ---- | C] () -- C:\WINDOWS\mozver.dat [2006.10.13 16:38:00 | 000,149,504 | -H-- | C] () -- C:\Dokumente und Einstellungen\Banehallow\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2006.10.12 15:21:32 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2006.10.11 20:21:29 | 000,000,022 | ---- | C] () -- C:\WINDOWS\WET.INI [2006.10.11 20:15:57 | 000,047,104 | ---- | C] () -- C:\WINDOWS\System32\KMVIDC32.DLL [2006.10.11 17:43:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2006.10.11 17:42:37 | 000,197,752 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2006.10.11 17:31:01 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin [2006.10.11 17:17:09 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2006.10.11 17:16:55 | 000,796,584 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll [2006.10.11 16:57:29 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2006.10.11 16:51:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2006.02.13 22:29:25 | 000,189,051 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2005.10.10 14:00:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2004.03.15 20:28:50 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll [2002.12.31 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2002.12.31 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2002.12.31 14:00:00 | 000,414,318 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2002.12.31 14:00:00 | 000,399,964 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2002.12.31 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2002.12.31 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2002.12.31 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2002.12.31 14:00:00 | 000,073,148 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2002.12.31 14:00:00 | 000,060,376 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2002.12.31 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2002.12.31 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2002.12.31 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2002.12.31 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2002.12.31 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2002.12.31 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2002.12.31 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2011.06.05 22:30:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic [2011.04.13 17:53:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.12.01 07:28:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground [2011.05.28 09:05:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2008.07.21 15:43:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan [2010.01.24 12:52:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\AquaNox [2009.11.15 14:36:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\GrabPro [2011.06.04 23:52:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\ICQ [2009.01.06 05:06:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\LimeWire [2010.07.30 18:16:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\LolClient [2011.02.22 01:49:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Banehallow\Anwendungsdaten\Orbit [2011.06.06 14:36:00 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2007.02.16 15:55:38 | 000,000,000 | ---D | M] -- C:\ATI [2007.01.04 20:24:56 | 000,000,000 | ---D | M] -- C:\CL [2006.10.11 17:06:47 | 000,000,000 | ---D | M] -- C:\computec [2010.10.06 21:36:45 | 000,000,000 | ---D | M] -- C:\DBControl [2006.10.11 16:59:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2008.03.29 14:32:54 | 000,000,000 | ---D | M] -- C:\Logs [2007.08.17 18:10:07 | 000,000,000 | ---D | M] -- C:\Medion [2011.05.02 17:30:38 | 000,000,000 | R--D | M] -- C:\Programme [2006.10.11 19:53:22 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2010.10.06 01:55:32 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2008.04.04 15:49:11 | 000,000,000 | ---D | M] -- C:\Temp [2011.06.05 02:42:27 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2002.12.31 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe [2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\explorer.exe [2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\explorer.exe [2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2002.12.31 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe [2002.12.31 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\system32\dllcache\regedit.exe [2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\userinit.exe [2002.12.31 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe [2002.12.31 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2002.12.31 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe [2002.12.31 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-02-23 02:45:31 < End of report > Extras.txt:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.06.2011 14:06:14 - Run 1
OTL by OldTimer - Version 3.2.23.0 Folder = D:\firefox-downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023.48 Mb Total Physical Memory | 480.62 Mb Available Physical Memory | 46.96% Memory free
3.84 Gb Paging File | 3.25 Gb Available in Paging File | 84.77% Paging File free
Paging file location(s): [Binary data over 100 bytes]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9.77 Gb Total Space | 1.17 Gb Free Space | 11.95% Space Free | Partition Type: NTFS
Drive D: | 78.13 Gb Total Space | 3.21 Gb Free Space | 4.11% Space Free | Partition Type: NTFS
Drive E: | 39.06 Gb Total Space | 0.24 Gb Free Space | 0.61% Space Free | Partition Type: NTFS
Drive F: | 14.65 Gb Total Space | 3.76 Gb Free Space | 25.68% Space Free | Partition Type: NTFS
Drive G: | 44.70 Gb Total Space | 13.40 Gb Free Space | 29.98% Space Free | Partition Type: NTFS
Drive I: | 4.31 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: GREYSKULL | User Name: Banehallow | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"57914:TCP" = 57914:TCP:*:Enabled:Pando Media Booster
"57914:UDP" = 57914:UDP:*:Enabled:Pando Media Booster
"58629:TCP" = 58629:TCP:*:Enabled:Pando Media Booster
"58629:UDP" = 58629:UDP:*:Enabled:Pando Media Booster
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"57914:TCP" = 57914:TCP:*:Enabled:Pando Media Booster
"57914:UDP" = 57914:UDP:*:Enabled:Pando Media Booster
"8394:TCP" = 8394:TCP:*:Enabled:League of Legends Launcher
"8394:UDP" = 8394:UDP:*:Enabled:League of Legends Launcher
"6887:TCP" = 6887:TCP:*:Enabled:League of Legends Launcher
"6887:UDP" = 6887:UDP:*:Enabled:League of Legends Launcher
"6889:TCP" = 6889:TCP:*:Enabled:League of Legends Launcher
"6889:UDP" = 6889:UDP:*:Enabled:League of Legends Launcher
"8395:TCP" = 8395:TCP:*:Enabled:League of Legends Launcher
"8395:UDP" = 8395:UDP:*:Enabled:League of Legends Launcher
"58629:TCP" = 58629:TCP:*:Enabled:Pando Media Booster
"58629:UDP" = 58629:UDP:*:Enabled:Pando Media Booster
"8396:TCP" = 8396:TCP:*:Enabled:League of Legends Launcher
"8396:UDP" = 8396:UDP:*:Enabled:League of Legends Launcher
"6964:TCP" = 6964:TCP:*:Enabled:League of Legends Launcher
"6964:UDP" = 6964:UDP:*:Enabled:League of Legends Launcher
"8397:TCP" = 8397:TCP:*:Enabled:League of Legends Launcher
"8397:UDP" = 8397:UDP:*:Enabled:League of Legends Launcher
"6990:TCP" = 6990:TCP:*:Enabled:League of Legends Launcher
"6990:UDP" = 6990:UDP:*:Enabled:League of Legends Launcher
"6965:TCP" = 6965:TCP:*:Enabled:League of Legends Launcher
"6965:UDP" = 6965:UDP:*:Enabled:League of Legends Launcher
"6934:TCP" = 6934:TCP:*:Enabled:League of Legends Launcher
"6934:UDP" = 6934:UDP:*:Enabled:League of Legends Launcher
"6943:TCP" = 6943:TCP:*:Enabled:League of Legends Launcher
"6943:UDP" = 6943:UDP:*:Enabled:League of Legends Launcher
"6936:TCP" = 6936:TCP:*:Enabled:League of Legends Launcher
"6936:UDP" = 6936:UDP:*:Enabled:League of Legends Launcher
"6898:TCP" = 6898:TCP:*:Enabled:League of Legends Launcher
"6898:UDP" = 6898:UDP:*:Enabled:League of Legends Launcher
"6902:TCP" = 6902:TCP:*:Enabled:League of Legends Launcher
"6902:UDP" = 6902:UDP:*:Enabled:League of Legends Launcher
"6970:TCP" = 6970:TCP:*:Enabled:League of Legends Launcher
"6970:UDP" = 6970:UDP:*:Enabled:League of Legends Launcher
"6899:TCP" = 6899:TCP:*:Enabled:League of Legends Launcher
"6899:UDP" = 6899:UDP:*:Enabled:League of Legends Launcher
"6974:TCP" = 6974:TCP:*:Enabled:League of Legends Launcher
"6974:UDP" = 6974:UDP:*:Enabled:League of Legends Launcher
"6939:TCP" = 6939:TCP:*:Enabled:League of Legends Launcher
"6939:UDP" = 6939:UDP:*:Enabled:League of Legends Launcher
"6986:TCP" = 6986:TCP:*:Enabled:League of Legends Launcher
"6986:UDP" = 6986:UDP:*:Enabled:League of Legends Launcher
"6885:TCP" = 6885:TCP:*:Enabled:League of Legends Launcher
"6885:UDP" = 6885:UDP:*:Enabled:League of Legends Launcher
"6890:TCP" = 6890:TCP:*:Enabled:League of Legends Launcher
"6890:UDP" = 6890:UDP:*:Enabled:League of Legends Launcher
"6896:TCP" = 6896:TCP:*:Enabled:League of Legends Launcher
"6896:UDP" = 6896:UDP:*:Enabled:League of Legends Launcher
"8398:TCP" = 8398:TCP:*:Enabled:League of Legends Launcher
"8398:UDP" = 8398:UDP:*:Enabled:League of Legends Launcher
"8393:TCP" = 8393:TCP:*:Enabled:League of Legends Lobby
"8393:UDP" = 8393:UDP:*:Enabled:League of Legends Lobby
"8390:TCP" = 8390:TCP:*:Enabled:League of Legends Game Client
"8390:UDP" = 8390:UDP:*:Enabled:League of Legends Game Client
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"D:\Programme\ICQ7.4\ICQ.exe" = D:\Programme\ICQ7.4\ICQ.exe:*:Enabled:ICQ7.4 -- (ICQ, LLC.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service -- (Zone Labs, LLC)
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"D:\Programme\warcraft3 crakt NICHT patchen\War3.exe" = D:\Programme\warcraft3 crakt NICHT patchen\War3.exe:*:Disabled:Warcraft III
"D:\Programme\Hellgate London\Launcher.exe" = D:\Programme\Hellgate London\Launcher.exe:*:Enabled:Hellgate: London -- (Flagship Studios)
"D:\Programme\LimeWire\LimeWire.exe" = D:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\Cyanide\GameCenter\GameCenter.exe" = C:\Programme\Cyanide\GameCenter\GameCenter.exe:*:Enabled:GameCenter
"D:\Programme\Cyanide\Loki\Loki.exe" = D:\Programme\Cyanide\Loki\Loki.exe:*:Enabled:Loki -- (Cyanide)
"D:\Programme\Cyanide\Loki\Autorun\AutoRun.exe" = D:\Programme\Cyanide\Loki\Autorun\AutoRun.exe:*:Enabled:Loki - AutoRun -- (Cyanide)
"G:\Programme\Curse\CurseClient.exe" = G:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client
"D:\kopie D\Programme\warcraft3 crakt NICHT patchen\War3.exe" = D:\kopie D\Programme\warcraft3 crakt NICHT patchen\War3.exe:*:Disabled:Warcraft III
"D:\Programme\Orbitdownloader\orbitdm.exe" = D:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit -- (Orbitdownloader.com)
"D:\Programme\Orbitdownloader\orbitnet.exe" = D:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit -- (Orbitdownloader.com)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
"O:\Dragon Age\bin_ship\daorigins.exe" = O:\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel
"O:\Dragon Age\DAOriginsLauncher.exe" = O:\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher
"O:\Dragon Age\bin_ship\daupdatersvc.service.exe" = O:\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater
"D:\Programme\League of Legends\Air\LolClient.exe" = D:\Programme\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\Programme\League of Legends\Game\League of Legends.exe" = D:\Programme\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"D:\Programme\ICQ7.4\ICQ.exe" = D:\Programme\ICQ7.4\ICQ.exe:*:Enabled:ICQ7.4 -- (ICQ, LLC.)
"D:\Riot Games\League of Legends\air\LolClient.exe" = D:\Riot Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\Riot Games\League of Legends\game\League of Legends.exe" = D:\Riot Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"O:\lol stand 14.04.2011\League of Legends\Air\LolClient.exe" = O:\lol stand 14.04.2011\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby
"O:\lol stand 14.04.2011\League of Legends\Game\League of Legends.exe" = O:\lol stand 14.04.2011\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client
"O:\League of Legends\Air\LolClient.exe" = O:\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby
"O:\League of Legends\Game\League of Legends.exe" = O:\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\League of Legends\air\LolClient.exe" = D:\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\League of Legends\game\League of Legends.exe" = D:\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\League of Legends\lol.launcher.exe" = D:\League of Legends\lol.launcher.exe:*:Enabled:League of Legends Launcher -- ()
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{03ADC8AB-C130-0C3D-1FF9-2C385DF25689}" = CCC Help Czech
"{03E51094-E59C-11D5-873A-0050DABC2539}" = Tropico: Paradise Island
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{07021185-008D-ABF9-7716-475AC035F8B3}" = CCC Help Spanish
"{0AD8AA88-0DE9-4065-A35E-529EB576A507}" = SA25x0 & SA26x0 Device Manager
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung
"{0F8D0406-7755-AC37-6529-73AD649DBE32}" = Catalyst Control Center Graphics Previews Common
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1998BD34-1AAB-4169-ACFF-67342E2AF9B4}" = Gothic III Release Update
"{1A4E47DC-6701-4A85-AA16-C1F99A44598C}" = SpellForce 2 - Shadow Wars
"{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX
"{1D108D70-E7D1-4089-9A0A-99629C4D0CB8}" = Morrowind
"{22072CC8-7230-96F8-52F4-05EAF3F906B6}" = CCC Help Polish
"{2368ADBD-6FDF-4B9F-FE41-E20B4D78E79E}" = CCC Help Chinese Standard
"{25EF0DC4-B072-2E04-4581-A13C91423CE6}" = CCC Help Portuguese
"{26A373DB-162B-4B6E-A488-0BED0F0FB227}" = Hex Workshop v5
"{26F7855C-443B-00A6-F7B8-A97A5403F617}" = CCC Help Danish
"{2A5F8B44-412D-11DB-B3CD-0040CA60DB0C}" = Euro-Fahrschule 2007
"{2CB4A925-48A7-DA65-DCEE-D4DE224B7D84}" = CCC Help English
"{306D75B9-7FFF-FF65-0C76-57F2FE4FE1D6}" = Catalyst Control Center Core Implementation
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{32B12FE4-5A51-751A-1FB6-A14E97EBDD5C}" = CCC Help German
"{339E300B-AD83-4013-BABF-E5C0DDAAFE7C}" = Spellforce 2 - Dragon Storm
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{351512E5-01BD-E878-6F57-AA3E517D9ECE}" = Skins
"{354A387E-0374-21A3-6832-335674A6D7D1}" = CCC Help French
"{3C00BEE9-26D0-D9E0-A2D1-62F70D412A12}" = CCC Help Turkish
"{412B69AF-C352-4F6F-A318-B92B3CB9ACC6}" = Titan Quest
"{4346F7AA-3D56-0941-424C-4454E04D37F6}" = CCC Help Italian
"{4CAE2F2C-75CD-A0DE-7520-449BCBBCC833}" = CCC Help Korean
"{53480520-7555-470E-8C69-750B0472B4BB}" = O&O Defrag Professional Edition
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}" =
"{57F7F0A5-8F22-8E63-E819-803B5C9CA3A5}" = CCC Help Dutch
"{58D68DF0-4E8B-4E9E-B425-670F9E37C1A8}" = TES Construction Set
"{5EA437D2-7A57-B60E-E8F2-76BFAC0895A5}" = CCC Help Chinese Traditional
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{61AF4E75-050E-0304-3417-8BC16417FEB1}" = CCC Help Greek
"{632005DA-C291-5275-284C-5EE96B05C714}" = Catalyst Control Center HydraVision Full
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6C72BE0C-3E25-CACD-0070-2FD9C02ABA14}" = ccc-core-preinstall
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37}" = ICQ7.4
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{7C503E58-B2BC-11D5-978A-0050BA84F5F7}" = Neverwinter Nights
"{818FB39B-1A57-4F1B-A54D-391C33D6C586}" = Tropico
"{880BB617-914E-17E8-D877-A96BAC5794D2}" = Catalyst Control Center Graphics Full New
"{8897CF22-DB6C-8248-895C-12BFA2677F51}" = CCC Help Hungarian
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{92B94569-6683-4617-8C54-EB27A1B51B30}" = GTAIII
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{978A2104-8363-11D4-AA23-0000E889C4DA}" = Starship Troopers
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2B4455D-1046-4732-BFBC-0821BEFC07BC}" = Hellgate: London
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A99968BE-C155-474C-0089-33239DEE1CE2}" = NFS Underground
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AEC81925-9C76-4707-84A9-40696C613ED3}" = Dragon Age: Origins
"{AF710FDE-2815-8C8D-5281-8004C2654AA6}" = CCC Help Russian
"{AFF2D965-C6F2-A210-FBF7-532612AA1D23}" = CCC Help Swedish
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B21336EE-4AEF-9940-4AC7-EDB89854B8D3}" = CCC Help Thai
"{B5C5C17E-FEF6-4062-8151-A427AE8AF9D7}" = Titan Quest Immortal Throne
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BBA69346-61A1-BD34-E75A-4D81232DB1FE}" = Catalyst Control Center Localization All
"{BFD5ED08-F066-92D5-BE67-3B9AE5DCFF0C}" = CCC Help Japanese
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C4609F15-FB3C-D97E-BAA1-4F10815039C2}" = Catalyst Control Center Graphics Full Existing
"{D01FAC3D-86B4-3A19-9D10-9156A0EB3EBE}" = CCC Help Finnish
"{D73722C8-3F65-C75B-A631-5D36894DAB92}" = ccc-core-static
"{DDAD33B6-8C00-428D-087B-A7088355B9BE}" = Catalyst Control Center Graphics Light
"{E333F074-FC7F-596D-3D61-44F0EC28E8C0}" = ccc-utility
"{E51B4CD9-A0A6-4324-B26A-31B3F2DE26CE}" = Black and White
"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =
"{FA38F9E4-BED7-E021-B660-8FDFF7EC6E1A}" = CCC Help Norwegian
"{FB15BACA-8F2E-421C-A214-F9065EA15A92}" = LAN Utility
"AC3Filter" = AC3Filter (remove only)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"Applian FLV Player2.0.24" = Applian FLV Player
"ATI Display Driver" = ATI Display Driver
"AVMWLANCLI" = AVM FRITZ!WLAN
"Citrus Alarm Clock_is1" = Citrus Alarm Clock 1.0.5
"Cultures2" = Cultures2 - Die Tore Asgards
"Disciples 2" = Disciples 2
"Heroes of Might and Magic IV" = Heroes of Might and Magic® IV
"ICQToolbar" = ICQ Toolbar
"InstallShield_{2A5F8B44-412D-11DB-B3CD-0040CA60DB0C}" = Euro-Fahrschule 2007
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"Loki" = Loki
"Loki_is1" = Loki
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Orbit_is1" = Orbit Downloader
"RAM Idle LE_is1" = RAM Idle LE
"RealPlayer 6.0" = RealPlayer Basic
"RiseOfNations 1.0" = Microsoft Rise Of Nations
"Sacred Underworld_is1" = Sacred Underworld
"Sacred_is1" = Sacred
"san_std_2002" = SiSoftware Sandra 2002 Standard
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"SpellForce" = SpellForce
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Wecker 2.2" = Wecker 2.2 2.2
"WET - The Sexy Empire" = WET - The Sexy Empire
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"World of Warcraft" = World of Warcraft
"Worms2" = Worms2
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Xvid_is1" = Xvid 1.1.3 final uninstall
"ZoneAlarm Pro" = ZoneAlarm Pro
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mayan Calculator" = Mayan Calculator
"TeamSpeak 3 Client" = TeamSpeak 3 Client
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 15.04.2011 08:23:41 | Computer Name = GREYSKULL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten
Vorgang nicht ausführen. .
Error - 15.04.2011 08:23:51 | Computer Name = GREYSKULL | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 05.05.2011 05:20:19 | Computer Name = GREYSKULL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 04.06.2011 17:33:18 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 17:39:46 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 17:49:29 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 17:50:07 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 17:58:18 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 18:04:38 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
Error - 04.06.2011 18:13:21 | Computer Name = GREYSKULL | Source = Avira AntiVir | ID = 4110
Description =
[ System Events ]
Error - 06.06.2011 00:37:33 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 01:37:57 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 02:37:14 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 03:13:12 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 04:13:35 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 05:14:00 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 06:13:18 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 07:04:54 | Computer Name = GREYSKULL | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
gagp30kx ViaIde
Error - 06.06.2011 07:13:11 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
Error - 06.06.2011 08:13:34 | Computer Name = GREYSKULL | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "CHAOS-4F1C85D10",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{49673D5C-F54-Transport zu sein
scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
< End of report >
MBAM: Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6784 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 06.06.2011 12:40:15 mbam-log-2011-06-06 (12-40-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 258422 Laufzeit: 2 Stunde(n), 5 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fheydbueyj.exe (Trojan.SpyEyes) -> Value: fheydbueyj.exe -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\fheydbueyj.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\dokumente und einstellungen\all users\anwendungsdaten\15195940.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\all users\anwendungsdaten\yjmujuesnxqx.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\banehallow\lokale einstellungen\temporary internet files\Content.IE5\3L34BQV4\calc[1].exe (Trojan.FakeMS) -> Quarantined and deleted successfully. c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xa.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. d:\programme\THQ\titan quest immortal throne\chtnitrn.exe (Trojan.Genome) -> Quarantined and deleted successfully. d:\savegames\diablo ii\Diablo2\dw'seditor.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully. f:\programme\DLH98\DLH_OUT\dw'seditor.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully. f:\programme\hackzeugs\brutusa2.exe und 6 weitere datei(en)\BrutusA2.exe (HackTool.Brutus) -> Quarantined and deleted successfully. f:\system volume information\_restore{7b93922c-a17f-44e0-9a37-a7fc6869a93e}\RP71\A0013065.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully. f:\tuneup 2004\crack tuneup utilities 2005.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. f:\vom desktop\Boom!\Diablo2\dw'seditor.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully. f:\vom desktop\Boom!\dungeon lords\dungeonlordstrainer.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully. c:\uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\fheydbueyj.exe\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully. ->mir fällt bei der MBAM-log sofort auf, das alle browser-registrierungsschlüssel infiziert sind, abgesehen von firefox, dem einzigen den ich nutze. ich schließe daraus, das die sache definitiv noch nicht durchgestanden ist :/ oh und noch ne info!! iwann ende letzter woche habe ich mir irgendetwas eingefangen, was in der regedit eingestellt hat das ich nichtmal als admin den taskmanager öffnen kann; dieses problem trat nach zweimaligem zurückstellen aber nichtmehr auf! oh man und noch etwas! -.- mir fällt immer mehr von dem ein was mir aus lauter gewohnheit schon garnichtmehr auffällt -.- -mein firefox macht hin und wieder geöffnete tabs zu komplett neuen fenstern -beim booten verursacht mein daemon.tools immer eine fehlermeldung -nachdem ich vor einigen wochen malwieder oblivion installiert hatte, waren mittlere grafikeinstellungen bei maximaler sichtweite für den uralt-und-achsolangsam-rechner nicht das geringste problem...allerdings aber für den flachbildmonitor, dieser gab wohl den geist auf, er hat nämlich sehr viele rote streifen bekommen sobald ihm ein klein wenig zu warm wurde. ich schließe allerdings auch hier ein virenproblem nicht aus, da der monitor zwar alt und vielgebraucht und neuartige müllware war, mir aber spontan nicht ein einziger fall einfällt bei dem ein bereits älteres, wenn auch anspruchsvolles spiel einem monitor den letzten schuss gibt. ich glaub das war jetzt wirklich viel...also wer immer sich das angetan hat, ich sage allein fürs lesen schonmal danke!! lg graveworm *edit: ich bin erst nach dem erstellen auf den thread zu cracks, keygens, etc. gestoßen und möchte an dieser stelle darum bitten meine regelmissachtung zu ignorieren, da ich sonst aus verschleierungsgründen textzeilen entfernen müsste deren entfernen meiner ansicht nach die lösung des vorliegenden problems erheblich negativ beeinflussen würde. Geändert von Graveworm (06.06.2011 um 15:39 Uhr) |
| Themen zu TR FakeSysDef.a 570/331 + diverse anomalien (viel zu lesen, aber gutes deutsch!) |
| 0x00000001, acedrv05.sys, black, c:\windows\system32\rundll32.exe, calculator, curse, dateien versteckt, extras.txt, fakesysdef.a, festplatte beschädigt, flash player, freude, hacktool.brutus, install.exe, jdownloader, league of legends, otl.txt, plug-in, pup.hacktool.hotkeyshook, pup.tool, riskware.tool.ck, schreibfehler, security.hijack, taskmanager, teamspeak, trojan.agent, trojan.downloader, trojan.fakems, trojan.genome, trojan.spyeyes, webcheck |
Baum-Darstellung