| |
| |||||||
Log-Analyse und Auswertung: SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmalWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.06.2011, 14:43
| #1 |
 |  SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Hatte zunächst das Problem, dass "Eigene Dateien" komplett leer war und Start->Programme->nur noch den leeren Open Office Ordner anzeigt. Desktopsymbole zudem zum Großteil verschwunden. Hinzu kamen Security Device Meldungen wie "kritischer Fehler", die bei Klick auf X zum Absturz des Systems führten. Bevor ich auf dieses Forum gestoßen bin erst einmal Antivir und Malwarebytes durchlaufen lassen,Antivir fand die im Titel genannten Trojaner/Malware, es wurden auch einige Dateien entfernt (was hoffentlich kein Fehler war!) und zum. die Fehlermeldungen + Abstürze sind weg. Habe nun Hijack This und Malwarebytes (diesmal ohne Fund) noch einmal durchlaufen lassen, um die Logfiles hier posten zu können. Hier das von HJT: [quote] HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:50:32, on 13.06.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17096) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\DSentry.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\PowerISO\PWRISOVM.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Brother\ControlCenter3\brccMCtl.exe C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\mmrtkrnl.exe C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\Programme\DriverFinder\DriverFinder.exe C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Brother\Brmfcmon\BrMfcmon.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avnotify.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.2\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [DriverFinder] C:\Programme\DriverFinder\DriverFinder.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- End of file - 10231 bytes Wäre für jede Hilfe dankbar, da ich , wie man wohl auch merkt, auf diesem Gebiet gar nicht bewandert bin. Habe gerade zusätzlich noch herausgefunden, dass die Eigenen Dateien versteckt und nicht etwa gelöscht gewesen sind. Nach Lesen von Swiss's Beitrag fiel mir auf, dass ich die Win Version nicht gepostet hatte: es handelt sich um ein Problem unter Win XP. Geändert von moeter (13.06.2011 um 15:18 Uhr) |
|
13.06.2011, 14:47
| #2 |
| /// Malwareteam   | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Poste die Logs von Malwarebytes. Schritt 2 Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Schritt 3 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
Schritt 4 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
|
13.06.2011, 15:08
| #3 | |||
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal hey swiss, vielen dank schonmal für die mehr als schnelle antwort!
__________________hier also die logs aus malwarebytes 1. log (hatte vollständigen suchlauf gestartet, aber abgebrochen, weil er zu lange dauerte Zitat:
Zitat:
Zitat:
edit: habe den swiss-post noch einmal gelesen und bin zu dem Entschluss gekommen, dass ich erst einmal die Schritte nach Anleitung weiter abarbeite. Und weiter noch, sicher nicht allzu komfortabel für die Bearbeitung des Problems hier: es ist nicht mein Rechner um den es sich handelt, sondern der meiner Mutter. Ich würde ihr jetzt sagen, dass sie diesen PC nurnoch zum surfen nutzen soll bis das Problem komplett behandelt wurde und solange alles was mit Passwörtern zu tun hat am PC meines Bruders machen soll, bis ich wieder hier war um das Problem weiterzubehandeln, da ich studiere und heute Abend zunächst einmal hier verschwinden muss. Wie kann ich später dieses Problem wieder aufnehmen, ohne dass es aussieht als ob ich den Thread pushen würde? Geändert von moeter (13.06.2011 um 15:21 Uhr) |
|
13.06.2011, 15:19
| #4 | |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmalZitat:
|
|
13.06.2011, 15:36
| #5 | |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Ich werde versuchen, die Schritte noch heute abzuarbeiten. Gegebenenfalls werde ich wenn ich wieder hier bin einen neuen Post mit allen aktuellen log-files verfassen. Hier der Inhalt der OTL.txt OTL Logfile: Code:
ATTFilter OTL logfile created on: 13.06.2011 16:36:21 - Run 1 OTL by OldTimer - Version 3.2.24.0 Folder = C:\Dokumente und Einstellungen\Finn Winter\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,00 Mb Total Physical Memory | 539,36 Mb Available Physical Memory | 52,72% Memory free 1,65 Gb Paging File | 1,23 Gb Available in Paging File | 74,65% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 111,72 Gb Total Space | 60,30 Gb Free Space | 53,97% Space Free | Partition Type: NTFS Computer Name: PCDELUXE | User Name: Finn Winter | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.06.13 16:32:39 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\OTL.exe PRC - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2010.12.26 21:21:39 | 005,511,368 | ---- | M] () -- C:\Programme\DriverFinder\DriverFinder.exe PRC - [2010.11.21 11:49:24 | 000,247,608 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe PRC - [2010.06.29 21:12:38 | 000,070,144 | ---- | M] (AlcaTech) -- C:\WINDOWS\SYSTEM32\mmrtkrnl.exe PRC - [2009.11.13 13:31:14 | 000,092,008 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe PRC - [2009.11.13 13:31:12 | 000,247,144 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe PRC - [2009.08.07 14:47:40 | 000,187,456 | ---- | M] (DATA BECKER GmbH & Co KG) -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe PRC - [2009.07.21 14:35:18 | 000,193,793 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avnotify.exe PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.15 12:15:16 | 000,180,224 | ---- | M] (PowerISO Computing, Inc.) -- C:\Programme\PowerISO\PWRISOVM.EXE PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.06.10 04:27:04 | 000,144,784 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_07\bin\jusched.exe PRC - [2008.06.10 04:27:03 | 000,329,104 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.02.27 18:04:40 | 000,185,896 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe PRC - [2007.05.28 18:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe PRC - [2007.03.02 16:48:00 | 000,098,304 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcMon.exe PRC - [2002.08.14 19:22:52 | 000,028,672 | R--- | M] (Dell - Advanced Desktop Engineering) -- C:\WINDOWS\SYSTEM32\DSentry.exe ========== Modules (SafeList) ========== MOD - [2011.06.13 16:32:39 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\OTL.exe MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (AppMgmt) SRV - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2010.11.21 11:49:24 | 000,247,608 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2009.11.13 13:31:14 | 000,092,008 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - [2009.08.07 14:47:40 | 000,187,456 | ---- | M] (DATA BECKER GmbH & Co KG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe -- (DBService) SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2007.05.28 18:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Running] -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2003.03.03 14:33:40 | 000,143,360 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\NCS\Sync\NetSvc.exe -- (NetSvc) ========== Driver Services (SafeList) ========== DRV - [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\mbam.sys -- (MBAMProtector) DRV - [2009.11.25 12:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\avipbb.sys -- (avipbb) DRV - [2009.03.15 12:25:46 | 000,056,268 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\scdemu.sys -- (SCDEmu) DRV - [2009.02.25 19:03:46 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.12.21 17:57:27 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys -- (hamachi) DRV - [2008.11.28 15:34:56 | 000,035,840 | ---- | M] (CACE Technologies) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf_devolo.sys -- (NPF_devolo) NetGroup Packet Filter Driver (devolo) DRV - [2008.07.30 07:51:30 | 000,277,736 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\acedrv11.sys -- (acedrv11) DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\gameenum.sys -- (gameenum) DRV - [2008.02.20 13:47:34 | 000,027,936 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\tbhsd.sys -- (tbhsd) DRV - [2005.10.28 12:38:18 | 000,402,432 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\ZD1211BU.sys -- (ZD1211BU(WLAN)) 802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN) DRV - [2005.06.08 19:44:20 | 000,020,608 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\BRGSp50.sys -- (BRGSp50) DRV - [2005.03.04 05:10:26 | 000,074,112 | R--- | M] (a-Quip Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys -- (RTL8023xp) DRV - [2004.12.01 05:12:28 | 000,873,984 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys -- (ati2mtag) DRV - [2004.10.25 14:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\ZDPSp50.sys -- (ZDPSp50) DRV - [2004.08.03 23:29:50 | 000,019,455 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wvchntxx.sys -- (iAimFP4) DRV - [2004.08.03 23:29:48 | 000,012,063 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wsiintxx.sys -- (iAimFP3) DRV - [2004.08.03 23:29:46 | 000,023,615 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wch7xxnt.sys -- (iAimTV4) DRV - [2004.08.03 23:29:44 | 000,033,599 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\watv04nt.sys -- (iAimTV3) DRV - [2004.08.03 23:29:44 | 000,019,551 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\watv02nt.sys -- (iAimTV1) DRV - [2004.08.03 23:29:42 | 000,029,311 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\watv01nt.sys -- (iAimTV0) DRV - [2004.08.03 23:29:38 | 000,161,020 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\i81xnt5.sys -- (i81x) DRV - [2004.08.03 23:29:38 | 000,012,415 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wadv01nt.sys -- (iAimFP0) DRV - [2004.08.03 23:29:38 | 000,012,127 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wadv02nt.sys -- (iAimFP1) DRV - [2004.08.03 23:29:38 | 000,011,775 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\wadv05nt.sys -- (iAimFP2) DRV - [2004.05.18 01:25:00 | 000,016,880 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\ctpdusb.sys -- (Jukebox3) DRV - [2002.11.08 14:45:06 | 000,017,217 | ---- | M] (Dell Computer Corporation) [Kernel | System | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\omci.sys -- (omci) DRV - [2002.10.22 11:15:23 | 000,021,456 | R--- | M] (Texas Instruments Incorporated) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\SilvrLnk.sys -- (SilverLink) Texas Instruments SilverLink (USB GraphLink) DRV - [2002.08.30 17:29:02 | 001,293,440 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\P16X.sys -- (P16X) Creative SB Live! Series (WDM) DRV - [2002.07.17 08:05:10 | 000,016,512 | ---- | M] (Adaptec) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\aspi32.sys -- (ASPI) DRV - [2001.08.17 13:11:06 | 000,066,591 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\EL90XBC5.SYS -- (EL90XBC) DRV - [1997.12.23 05:02:46 | 000,023,936 | ---- | M] (Adaptec) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\aspi32.BAK -- (ASPI32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\..\URLSearchHook: {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru) IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaultthis.engineName: "Google Powered Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de" FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=" FF - prefs.js..network.proxy.backup.ftp: "" FF - prefs.js..network.proxy.backup.ftp_port: 0 FF - prefs.js..network.proxy.backup.gopher: "" FF - prefs.js..network.proxy.backup.gopher_port: 0 FF - prefs.js..network.proxy.backup.socks: "" FF - prefs.js..network.proxy.backup.socks_port: 0 FF - prefs.js..network.proxy.backup.ssl: "" FF - prefs.js..network.proxy.backup.ssl_port: 0 FF - prefs.js..network.proxy.ftp: "127.0.0.1" FF - prefs.js..network.proxy.ftp_port: 4001 FF - prefs.js..network.proxy.gopher: "127.0.0.1" FF - prefs.js..network.proxy.gopher_port: 4001 FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 4001 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "127.0.0.1" FF - prefs.js..network.proxy.socks_port: 4001 FF - prefs.js..network.proxy.ssl: "127.0.0.1" FF - prefs.js..network.proxy.ssl_port: 4001 FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Programme\Real\RealPlayer\browserrecord [2008.02.27 18:04:52 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.07 18:55:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.07 18:55:37 | 000,000,000 | ---D | M] [2010.03.30 17:42:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Extensions [2010.03.30 17:42:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2011.06.12 14:02:46 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Firefox\Profiles\x7a1n09t.default\extensions [2011.06.12 14:02:47 | 000,000,000 | -H-D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Firefox\Profiles\x7a1n09t.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2011.06.12 14:04:48 | 000,001,056 | -H-- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Firefox\Profiles\x7a1n09t.default\searchplugins\icqplugin.xml [2011.05.07 17:35:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2011.05.07 18:55:27 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2008.02.22 17:24:06 | 000,095,832 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll [2011.05.07 18:55:31 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.05.07 18:55:31 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2011.05.07 18:55:31 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.05.07 18:55:31 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.05.07 18:55:31 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.05.07 18:55:31 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002.08.29 06:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru) O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [DVDSentry] C:\WINDOWS\SYSTEM32\DSentry.exe (Dell - Advanced Desktop Engineering) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE (PowerISO Computing, Inc.) O4 - HKLM..\Run: [Realtime Audio Engine] C:\WINDOWS\System32\mmrtkrnl.exe (AlcaTech) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [DriverFinder] C:\Programme\DriverFinder\DriverFinder.exe () O4 - HKCU..\Run: [ICQ] File not found O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS) O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = _ [binary data] O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.) O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O15 - HKCU\..Trusted Domains: ([]msn in My Computer) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - Unable to read "AutoRun" value or value not present! O32 - AutoRun File - [2002.09.11 14:48:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{9a52afa8-3c11-11df-bcf7-0007e953a7a9}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation) Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: msacm.g723 - g723.acm File not found Drivers32: msacm.iac2 - C:\WINDOWS\SYSTEM32\iac25_32.ax (Intel Corporation) Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\System32\L3CODECX.ACM (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation) Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation) Drivers32: msacm.msg711 - C:\WINDOWS\System32\MSG711.ACM (Microsoft Corporation) Drivers32: msacm.msg723 - C:\WINDOWS\System32\MSG723.ACM (Microsoft Corporation) Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\MSGSM32.ACM (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\TSSOFT32.ACM (DSP GROUP, INC.) Drivers32: msacm.vorbis - C:\WINDOWS\System32\vorbis.acm (HMS hxxp://hp.vector.co.jp/authors/VA012897/) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.I263 - C:\WINDOWS\System32\i263_32.drv (Intel Corporation) Drivers32: vidc.I420 - C:\WINDOWS\System32\i263_32.drv (Intel Corporation) Drivers32: vidc.iv31 - C:\WINDOWS\System32\IR32_32.DLL () Drivers32: vidc.iv32 - C:\WINDOWS\System32\IR32_32.DLL () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation) Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation) Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: VIDC.MP42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: VIDC.MP43 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: VIDC.MPG4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation) Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation) Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation) Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wavemapper - C:\WINDOWS\System32\MSACM32.DRV (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (16902109354000384) ========== Files/Folders - Created Within 30 Days ========== [2099.11.20 20:38:03 | 001,703,936 | ---- | C] (NCT Company) -- C:\WINDOWS\System32\NCTAudioFile.dll [2099.11.20 20:38:03 | 000,393,216 | ---- | C] (NUGROOVZ) -- C:\WINDOWS\System32\VorbisEncX.dll [2099.11.20 20:38:03 | 000,360,448 | ---- | C] (NCT Company) -- C:\WINDOWS\System32\NCTWMAFile.dll [2099.11.20 20:38:03 | 000,303,104 | ---- | C] (NUGROOVZ) -- C:\WINDOWS\System32\WMAEncX.dll [2099.11.20 20:38:03 | 000,053,248 | ---- | C] (DGP) -- C:\WINDOWS\System32\VEnc.ocx [2099.11.20 20:38:02 | 000,892,928 | ---- | C] (NCT Company) -- C:\WINDOWS\System32\NCTAudioInformation.dll [2099.11.20 20:38:02 | 000,380,928 | ---- | C] (NUGROOVZ) -- C:\WINDOWS\System32\CDRipperX.ocx [2099.11.20 20:38:02 | 000,339,968 | ---- | C] (NUGROOVZ) -- C:\WINDOWS\System32\MP3EncX.dll [2099.11.20 20:38:02 | 000,000,000 | ---D | C] -- C:\Programme\CD to MP3 Ripper [2099.11.20 16:54:14 | 000,000,000 | ---D | C] -- C:\My Music [2099.11.20 16:21:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Startmenü\Programme\Winamp [2099.11.20 16:21:41 | 000,000,000 | ---D | C] -- C:\Programme\Winamp [2099.11.17 16:10:45 | 000,140,800 | ---- | C] (The Duck Corporation) -- C:\WINDOWS\System32\tm20dec.ax [2099.11.17 16:10:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Startmenü\Programme\MAGIX music [2099.11.17 16:09:24 | 000,000,000 | ---D | C] -- C:\Programme\MagixMusicMaker [2011.06.13 16:33:02 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\OTL.exe [2011.06.13 15:45:09 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Recent [2011.06.13 14:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2011.06.13 14:50:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HijackThis [2011.06.13 13:48:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DriverFinder [2011.06.13 13:48:11 | 000,000,000 | ---D | C] -- C:\Programme\DriverFinder [2011.06.13 13:48:03 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.06.13 13:47:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\DriverFinder [2011.06.13 12:04:43 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.06.13 10:59:59 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Malwarebytes [2011.06.13 10:59:50 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.06.13 10:59:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.06.13 10:59:45 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.06.13 10:59:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.06.12 14:03:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ICQ7.5 [2011.06.12 14:01:48 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.5 [2011.05.15 20:06:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\hjsplit3.0 [2005.05.16 01:15:10 | 001,626,172 | ---- | C] (Albert L Faber) -- C:\Programme\CDex.exe [2004.01.10 17:59:29 | 000,096,768 | ---- | C] ( ) -- C:\Programme\libsndfile.dll [2004.01.10 17:59:29 | 000,083,456 | ---- | C] (Albert L Faber) -- C:\Programme\CDRip.dll [2004.01.10 17:59:29 | 000,071,680 | ---- | C] (Matthew T. Ashland) -- C:\Programme\MACDll.dll [2004.01.10 17:59:29 | 000,069,632 | ---- | C] (Illustrate) -- C:\Programme\WMA8Connect.dll [2003.07.21 14:39:29 | 000,065,536 | ---- | C] ( ) -- C:\WINDOWS\System32\A3d.dll [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2099.11.17 16:11:08 | 000,005,952 | ---- | M] () -- C:\WINDOWS\System32\CDUninst.isu [2099.11.17 16:10:42 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb [2099.11.17 16:10:42 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb [2011.06.13 16:35:19 | 000,000,630 | ---- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\Verknüpfung mit firefox.exe.lnk [2011.06.13 16:32:39 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\OTL.exe [2011.06.13 16:30:49 | 000,606,105 | ---- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\unhide.exe [2011.06.13 14:50:09 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\HijackThis.lnk [2011.06.13 14:38:47 | 000,182,038 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2011.06.13 14:38:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\BOOTSTAT.DAT [2011.06.13 14:38:17 | 1072,762,880 | -HS- | M] () -- C:\hiberfil.sys [2011.06.13 13:48:17 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DriverFinder.lnk [2011.06.12 16:09:50 | 000,209,408 | -H-- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.06.10 17:04:42 | 000,001,170 | ---- | M] () -- C:\WINDOWS\System32\WPA.DBL [2011.06.08 21:14:37 | 000,380,812 | ---- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\CCI08062011_00000.JPG [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2099.11.20 20:38:53 | 000,316,640 | ---- | C] () -- C:\WINDOWS\WMSysPr9.prx [2099.11.20 20:38:03 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\tvqenc.dll [2099.11.20 20:38:02 | 000,376,832 | ---- | C] () -- C:\WINDOWS\System32\actskin4.ocx [2099.11.20 20:38:02 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2099.11.20 20:38:02 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\CDDB.ocx [2099.11.20 16:21:41 | 000,000,155 | ---- | C] () -- C:\WINDOWS\winamp.ini [2099.11.17 17:35:31 | 000,000,274 | ---- | C] () -- C:\WINDOWS\muma7.INI [2099.11.17 16:21:52 | 000,000,200 | ---- | C] () -- C:\WINDOWS\BeatBox.INI [2099.11.17 16:11:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll [2099.11.17 16:11:07 | 000,005,952 | ---- | C] () -- C:\WINDOWS\System32\CDUninst.isu [2099.11.17 16:10:40 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2099.11.17 16:10:40 | 000,005,672 | ---- | C] () -- C:\WINDOWS\System32\quartz.vxd [2099.11.17 16:08:34 | 000,000,033 | ---- | C] () -- C:\WINDOWS\magix.ini [2011.06.13 16:35:19 | 000,000,630 | ---- | C] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\Verknüpfung mit firefox.exe.lnk [2011.06.13 16:31:11 | 000,606,105 | ---- | C] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\unhide.exe [2011.06.13 14:50:09 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\HijackThis.lnk [2011.06.13 13:48:17 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DriverFinder.lnk [2011.06.08 21:14:36 | 000,380,812 | ---- | C] () -- C:\Dokumente und Einstellungen\Finn Winter\Desktop\CCI08062011_00000.JPG [2010.10.14 19:26:56 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2010.05.02 20:53:53 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat [2010.05.02 20:51:17 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2009.02.25 21:54:34 | 000,002,017 | ---- | C] () -- C:\WINDOWS\musi.ini [2009.01.18 14:07:24 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2009.01.18 14:07:24 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2008.05.03 06:46:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008.05.03 06:46:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2008.05.03 06:46:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.05.03 06:46:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2008.05.03 06:46:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008.05.03 06:46:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008.05.03 06:46:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2008.05.03 06:46:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2008.05.03 06:46:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2008.02.27 18:42:39 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat [2008.02.26 23:21:43 | 000,001,142 | ---- | C] () -- C:\WINDOWS\mozver.dat [2008.02.26 23:20:25 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2008.02.26 22:54:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2007.08.23 18:30:00 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2006.08.21 19:39:52 | 000,000,032 | ---- | C] () -- C:\WINDOWS\SpriteKt.ini [2005.07.15 19:51:55 | 000,000,468 | ---- | C] () -- C:\Programme\Verknüpfung mit Rockstar Games an Knecht2.lnk [2005.07.12 15:44:42 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL [2005.07.12 15:12:50 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\PdeSrvps.dll [2005.07.12 15:12:48 | 000,149,504 | ---- | C] () -- C:\WINDOWS\UNWISE.EXE [2005.07.12 15:12:48 | 000,006,067 | ---- | C] () -- C:\WINDOWS\UNWISE.INI [2005.07.01 19:15:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2005.06.25 21:10:35 | 000,217,088 | R--- | C] () -- C:\WINDOWS\System32\MafiaSetup.exe [2005.05.16 00:54:29 | 000,061,875 | ---- | C] () -- C:\Programme\Uninstal.exe [2004.12.26 18:42:14 | 000,516,096 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2004.08.02 15:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.05.04 14:30:54 | 000,000,665 | ---- | C] () -- C:\WINDOWS\eReg.dat [2004.05.01 11:53:17 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL [2004.05.01 11:53:06 | 000,040,129 | ---- | C] () -- C:\WINDOWS\iccsigs.dat [2004.03.23 17:38:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll [2004.01.24 13:44:25 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.01.10 18:09:52 | 000,037,644 | -H-- | C] () -- C:\Programme\CDex.GID [2004.01.10 17:59:56 | 000,010,897 | ---- | C] () -- C:\Programme\Default.prf.ini [2004.01.10 17:59:29 | 000,010,897 | ---- | C] () -- C:\Programme\CDex.ini [2003.12.26 22:42:10 | 000,000,118 | ---- | C] () -- C:\WINDOWS\Prof.ini [2003.12.26 22:41:21 | 000,000,087 | ---- | C] () -- C:\WINDOWS\ClonyDrives.ini [2003.12.26 22:40:18 | 000,000,362 | ---- | C] () -- C:\WINDOWS\Clony2.ini [2003.12.24 22:42:53 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A4W.INI [2003.12.12 19:27:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MSDraw.ini [2003.10.12 16:25:32 | 000,000,058 | ---- | C] () -- C:\WINDOWS\CTACD.INI [2003.08.23 15:22:04 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI [2003.07.31 13:15:34 | 000,209,408 | -H-- | C] () -- C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2003.07.21 14:43:19 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2003.07.21 14:39:08 | 000,000,011 | ---- | C] () -- C:\WINDOWS\SBWIN.INI [2003.07.21 14:36:36 | 000,000,857 | ---- | C] () -- C:\WINDOWS\orun32.ini [2003.07.21 14:27:34 | 000,002,048 | --S- | C] () -- C:\WINDOWS\BOOTSTAT.DAT [2003.07.21 14:26:04 | 000,316,594 | ---- | C] () -- C:\WINDOWS\System32\PERFH007.DAT [2003.07.21 14:26:04 | 000,311,604 | ---- | C] () -- C:\WINDOWS\System32\PERFH009.DAT [2003.07.21 14:26:04 | 000,048,156 | ---- | C] () -- C:\WINDOWS\System32\PERFC007.DAT [2003.07.21 14:26:04 | 000,039,992 | ---- | C] () -- C:\WINDOWS\System32\PERFC009.DAT [2003.07.21 14:13:36 | 000,000,616 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2003.03.14 13:24:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe [2002.09.11 14:53:22 | 000,171,488 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2002.09.11 14:47:42 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2002.09.11 14:44:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2002.09.11 10:46:36 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN [2002.09.11 10:46:36 | 000,004,594 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT [2002.08.29 06:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\MLANG.DAT [2002.08.29 06:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\PERFI009.DAT [2002.08.29 06:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\PERFI007.DAT [2002.08.29 06:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\DSSEC.DAT [2002.08.29 06:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\MIB.BIN [2002.08.29 06:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\PERFD007.DAT [2002.08.29 06:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\PERFD009.DAT [2002.08.29 06:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2002.08.29 06:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\NOISE.DAT [2002.05.10 07:25:00 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\P16X.dll [1980.01.01 01:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll ========== LOP Check ========== [2010.07.22 12:24:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlcaTech [2009.08.07 14:47:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads [2011.06.12 14:02:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2005.04.15 19:39:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground [2008.06.12 14:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution [2010.05.02 20:51:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2010.03.30 17:42:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.07.22 12:24:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\AlcaTech [2010.02.18 16:55:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Auslogics [2010.08.19 18:10:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Azureus [2011.06.13 13:49:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\DriverFinder [2010.06.12 16:00:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\GHISLER [2011.06.13 01:29:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\ICQ [2008.02.23 12:26:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\ICQ Toolbar [2008.02.22 17:56:59 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\ICQLite [2010.10.18 15:36:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Koevu [2010.09.26 11:55:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Odeni [2009.08.07 14:52:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\ProtectDisc [2009.01.06 15:25:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\QIP [2008.06.12 14:22:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\RTPlayer [2003.07.24 11:25:20 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Template [2010.03.30 17:42:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\TomTom [2008.06.12 14:26:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Tunebite [2003.07.25 22:30:11 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2008.02.23 23:04:40 | 000,001,024 | ---- | M] () -- C:\.rnd [2002.09.11 14:48:26 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2008.02.23 12:50:30 | 000,000,211 | RHS- | M] () -- C:\BOOT.INI [2002.08.29 06:00:00 | 000,004,952 | RHS- | M] () -- C:\BOOTFONT.BIN [2002.09.11 14:25:12 | 000,000,512 | -HS- | M] () -- C:\BOOTSECT.DOS [2002.09.11 14:48:26 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2003.07.21 14:18:58 | 000,004,286 | RH-- | M] () -- C:\DELL.SDR [2008.01.26 19:09:42 | 067,557,302 | ---- | M] () -- C:\DoctorsDarlingMix.WAV [2009.07.12 15:34:21 | 000,000,190 | ---- | M] () -- C:\drwtsn32.log [2011.06.13 14:38:17 | 1072,762,880 | -HS- | M] () -- C:\hiberfil.sys [2003.08.23 15:22:06 | 000,001,120 | ---- | M] () -- C:\INSTALL.LOG [2002.09.11 14:48:26 | 000,000,000 | -H-- | M] () -- C:\IO.SYS [2003.07.24 13:33:12 | 000,000,337 | -H-- | M] () -- C:\IPH.PH [2008.06.12 14:26:54 | 000,000,364 | ---- | M] () -- C:\Log.txt [2005.01.03 22:29:05 | 000,000,000 | -H-- | M] () -- C:\MSDOS.SYS [2009.03.12 19:43:13 | 000,000,127 | ---- | M] () -- C:\Notizen.rtf [2008.02.23 12:45:16 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2008.09.16 18:30:17 | 000,251,712 | RHS- | M] () -- C:\NTLDR [2011.06.13 14:38:16 | 805,306,368 | -HS- | M] () -- C:\pagefile.sys [2009.03.01 13:36:13 | 000,000,654 | ---- | M] () -- C:\QuickDic.lnk [2001.05.24 12:59:30 | 000,162,304 | ---- | M] () -- C:\UNWISE.EXE [1 C:\*.tmp files -> C:\*.tmp -> ] < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > < %systemroot%\Fonts\*.dll > < %systemroot%\Fonts\*.ini > [2002.09.11 14:47:28 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\DESKTOP.INI < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > [2004.09.12 16:57:33 | 000,371,376 | ---- | M] (MacSourcery) -- C:\WINDOWS\gsaver.scr [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > [2008.02.24 15:59:10 | 000,001,594 | -H-- | M] () -- C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Microsoft\LastFlashConfig.WFC < %PROGRAMFILES%\*.* > [2003.09.10 21:23:40 | 000,007,051 | ---- | M] () -- C:\Programme\CDex.cnt [2003.09.10 21:51:38 | 001,626,172 | ---- | M] (Albert L Faber) -- C:\Programme\CDex.exe [2002.05.09 17:22:52 | 000,000,537 | ---- | M] () -- C:\Programme\CDex.exe.manifest [2005.05.16 22:16:53 | 000,037,644 | -H-- | M] () -- C:\Programme\CDex.GID [2003.09.10 21:50:04 | 000,383,249 | ---- | M] () -- C:\Programme\CDEX.HLP [2008.10.30 14:06:40 | 000,010,897 | ---- | M] () -- C:\Programme\CDex.ini [2003.09.10 21:48:56 | 000,083,456 | ---- | M] (Albert L Faber) -- C:\Programme\CDRip.dll [2003.09.10 21:48:34 | 000,021,889 | ---- | M] () -- C:\Programme\Changes.txt [2008.10.30 14:06:40 | 000,010,897 | ---- | M] () -- C:\Programme\Default.prf.ini [2003.09.10 21:49:34 | 000,096,768 | ---- | M] ( ) -- C:\Programme\libsndfile.dll [2002.08.07 23:07:22 | 000,071,680 | ---- | M] (Matthew T. Ashland) -- C:\Programme\MACDll.dll [2003.02.05 01:22:08 | 000,004,320 | ---- | M] () -- C:\Programme\readme.txt [2005.05.16 00:54:31 | 000,061,875 | ---- | M] () -- C:\Programme\Uninstal.exe [2005.07.15 19:51:55 | 000,000,468 | ---- | M] () -- C:\Programme\Verknüpfung mit Rockstar Games an Knecht2.lnk [2002.04.20 14:07:30 | 000,069,632 | ---- | M] (Illustrate) -- C:\Programme\WMA8Connect.dll < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2002.09.11 14:35:14 | 000,094,208 | ---- | M] () -- C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.SAV [2002.09.11 14:35:14 | 000,606,208 | ---- | M] () -- C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.SAV [2002.09.11 14:35:14 | 000,385,024 | ---- | M] () -- C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.SAV < %systemroot%\system32\user32.dll /md5 > [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SYSTEM32\user32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 04:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\SYSTEM32\ws2_32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 04:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\SYSTEM32\ws2help.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe < MD5 for: WINLOGON.EXE > [2004.08.04 01:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2002.08.29 06:00:00 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\I386\WINLOGON.EXE [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SYSTEM32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-05-12 08:32:48 < > ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:SummaryInformation @Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:SebiesnrMkudrfcoIaamtykdDa @Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:DocumentSummaryInformation < End of report > extras.txt OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 13.06.2011 16:36:21 - Run 1
OTL by OldTimer - Version 3.2.24.0 Folder = C:\Dokumente und Einstellungen\Finn Winter\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023,00 Mb Total Physical Memory | 539,36 Mb Available Physical Memory | 52,72% Memory free
1,65 Gb Paging File | 1,23 Gb Available in Paging File | 74,65% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,72 Gb Total Space | 60,30 Gb Free Space | 53,97% Space Free | Partition Type: NTFS
Computer Name: PCDELUXE | User Name: Finn Winter | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\BearShare Applications\BearShare\BearShare.exe" = C:\Programme\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare
"C:\Programme\Azureus\Azureus.exe" = C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- (Vuze Inc.)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Warcraft III\Warcraft III.exe" = C:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III
"C:\Dokumente und Einstellungen\Finn Winter\Desktop\wtvClient0.96.02\wtvClient.exe" = C:\Dokumente und Einstellungen\Finn Winter\Desktop\wtvClient0.96.02\wtvClient.exe:*:Enabled:wtvClient
"C:\Programme\Steam\steamapps\n00b_moeter\counter-strike\hl.exe" = C:\Programme\Steam\steamapps\n00b_moeter\counter-strike\hl.exe:*:Enabled:Half-Life Launcher
"C:\Programme\Hamachi\hamachi.exe" = C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client -- (LogMeIn Inc.)
"C:\Programme\QIP Infium\infium.exe" = C:\Programme\QIP Infium\infium.exe:*:Enabled:QIP Infium
"C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" = C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe:*:Enabled:Main program for Octoshape client -- (Octoshape ApS)
"C:\Programme\Java\jre1.6.0_07\bin\javaw.exe" = C:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Garena\Garena.exe" = C:\Programme\Garena\Garena.exe:*:Enabled:Garena
"C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe" = C:\Dokumente und Einstellungen\Finn Winter\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe:*:Enabled:Octoshape add-in for Adobe Flash Player -- (Octoshape ApS)
"C:\Programme\Steam\steamapps\n00b_moeter\half-life\hl.exe" = C:\Programme\Steam\steamapps\n00b_moeter\half-life\hl.exe:*:Enabled:Half-Life Launcher
"C:\Dokumente und Einstellungen\Finn Winter\Desktop\wtvClient0.97.00\wtvClient.exe" = C:\Dokumente und Einstellungen\Finn Winter\Desktop\wtvClient0.97.00\wtvClient.exe:*:Enabled:wtvClient
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\devolo\informer\devinf.exe" = C:\Programme\devolo\informer\devinf.exe:*:Enabled:devolo Informer -- (devolo AG)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1103112B-513D-4DEF-96B4-9889774E0118}" = Creative Zen Touch
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{332CC6BF-E6C7-48EE-BA3D-435E576AD67F}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}" = PixiePack Codec Pack
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}" = Power Tab Editor 1.7
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}" = Bonjour
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8DC42D05-680B-41B0-8878-6C14D24602DB}" = QuickTime
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{90D55A3F-1D99-4C94-A77E-46DC14F0BF08}" = Help and Support Customization
"{98DF85D9-96C0-4F57-A92E-C3539477EF5E}" = DVDSentry
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite
"{A790BEB1-BCCF-4EC6-807B-5708B36E8A79}" = Intel(R) PROSet
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B6C89654-A6A2-477C-873B-724EC1C56407}" = ScanSoft PaperPort 11
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{D6DE02C7-1F47-11D4-9515-00105AE4B89A}" = Paint Shop Pro 7
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E35B3C63-E958-4E31-A178-95D22024109A}" = Battlefield Vietnam(TM)
"{F2384408-AEDC-42A5-92E9-85468D73C6ED}" = VSynth
"8461-7759-5462-8226" = Vuze
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ASIO4ALL" = ASIO4ALL
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Azureus" = Azureus
"BewerbungsGenie 5_is1" = DATA BECKER BewerbungsGenie 5
"CCleaner" = CCleaner
"cdex" = cdex
"CodInstl" = Intel A/V Codecs V2.0
"Collab" = Collab
"Creative Jukebox Driver" = Creative Jukebox Driver
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"dlanconf" = devolo dLAN-Konfigurationsassistent
"DriverFinder" = DriverFinder
"dslmon" = devolo Informer
"EAX Unified" = EAX Unified
"EuroPoker_is1" = EuroPoker
"FL Studio 8" = FL Studio 8
"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1
"Hamachi" = Hamachi 1.0.3.0
"HijackThis" = HijackThis 2.0.2
"Hydrogen" = Hydrogen
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"IL Download Manager" = IL Download Manager
"JAP" = JAP
"LiveUpdate" = LiveUpdate 1.80 (Symantec Corporation)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Octava SD4" = Octava SD4
"PoiZone" = PoiZone
"PowerISO" = PowerISO
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"Protect Disc License Helper" = Protect Disc License Helper 1.0.118
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"ranSoccer" = ranSoccer
"RealPlayer 6.0" = RealPlayer
"ReBirth ModPacker" = ReBirth ModPacker
"ReBirth RB-338 2.0" = ReBirth RB-338 2.0
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"ST6UNST #1" = BEWERBUNGS-MASTER
"ST6UNST #2" = BEWERBUNGS-MASTER AZUBI
"SysInfo" = Creative-Systeminformationen
"TomTom HOME" = TomTom HOME 2.7.3.1894
"Totalcmd" = Total Commander (Remove or Repair)
"Toxic Biohazard" = Toxic Biohazard
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 0.9.9
"Vuze_Remote Toolbar" = Vuze Remote Toolbar
"WinAce Archiver 2.0" = WinAce Archiver 2.0
"Winamp" = Winamp (remove only)
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape add-in for Adobe Flash Player" = Octoshape add-in for Adobe Flash Player
"Octoshape Streaming Services" = Octoshape Streaming Services
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 12.06.2010 12:55:09 | Computer Name = PCDELUXE | Source = MsiInstaller | ID = 11706
Description = Produkt: Paint Shop Pro 7 -- Fehler 1706. Fur das Produkt Paint Shop
Pro 7 wurde kein Installationspaket gefunden. Wiederholen Sie die Installation
und verwenden Sie dabei eine gultige Kopie des Installationspakets "PSP7.MSI".
Error - 11.07.2010 07:05:21 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 11.07.2010 07:05:22 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 09.08.2010 06:16:20 | Computer Name = PCDELUXE | Source = Steam Client Service | ID = 1
Description =
Error - 14.02.2011 06:37:29 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
Error - 14.02.2011 10:53:16 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
Fehler aufgetreten. .
Error - 05.03.2011 11:26:29 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 05.03.2011 11:26:29 | Computer Name = PCDELUXE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 18.05.2011 16:32:03 | Computer Name = PCDELUXE | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office XP Professional mit FrontPage -- Fehler
1706. Setup kann die benötigten Dateien nicht finden. Überprüfen Sie Ihre Verbindung
mit dem Netzwerk oder dem CD-ROM-Laufwerk. Um mehr über mögliche Lösungen für dieses
Problem zu erfahren, sehen sie bitte nach in C:\Programme\Microsoft Office\Office10\1031\SETUP.HLP.
Error - 08.06.2011 15:48:58 | Computer Name = PCDELUXE | Source = Microsoft Office 10 | ID = 1000
Description = Faulting application outlook.exe, version 10.0.2616.0, faulting module
unknown, version 0.0.0.0, fault address 0x00000000.
[ System Events ]
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 13.06.2011 06:49:31 | Computer Name = PCDELUXE | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
< End of report >
nachtrag: das defogger log-file: Zitat:
Geändert von moeter (13.06.2011 um 15:45 Uhr) |
|
14.06.2011, 14:32
| #6 |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Zunächst einmal Entschuldigung für den Doppelpost! Aber da ich den letzten Beitrag ja nicht mehr editieren kann, musste für die letzte Logfile ein neuer Post her Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-14 15:40:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 ST3120026AS rev.8.05
Running: hgnyu0nj.exe; Driver: C:\DOKUME~1\FINNWI~1\LOKALE~1\Temp\pfrcapow.sys
---- System - GMER 1.0.15 ----
SSDT F7F1C0BE ZwCreateKey
SSDT F7F1C0B4 ZwCreateThread
SSDT F7F1C0C3 ZwDeleteKey
SSDT F7F1C0CD ZwDeleteValueKey
SSDT F7F1C0D2 ZwLoadKey
SSDT F7F1C0A0 ZwOpenProcess
SSDT F7F1C0A5 ZwOpenThread
SSDT F7F1C0DC ZwReplaceKey
SSDT F7F1C0D7 ZwRestoreKey
SSDT F7F1C0C8 ZwSetValueKey
SSDT F7F1C0AF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6FC8360, 0x372FAD, 0xE8000020]
.reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xBA285600, 0x25B0C, 0xE0000060]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Mozilla Firefox\firefox.exe[2068] ntdll.dll!LdrLoadDll 7C92632D 5 Bytes JMP 00401410 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Programme\Mozilla Firefox\plugin-container.exe[2940] USER32.dll!GetWindowInfo 7E37C49C 5 Bytes JMP 104C7187 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\plugin-container.exe[2940] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 104C7781 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Fastfat \Fat B97EAD20
Device \FileSystem\Fastfat \Fat B9802631
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x04 0x74 0xD5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xAE 0x66 0x78 0xF3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x16 0x94 0xD7 0x61 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x04 0x74 0xD5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xAE 0x66 0x78 0xF3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x16 0x94 0xD7 0x61 ...
---- EOF - GMER 1.0.15 ----
|
|
14.06.2011, 19:45
| #7 |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Schritt 1
Code:
ATTFilter :OTL
FF - prefs.js..network.proxy.backup.ftp: ""
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.gopher: ""
FF - prefs.js..network.proxy.backup.gopher_port: 0
FF - prefs.js..network.proxy.backup.socks: ""
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: ""
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 4001
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 4001
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 4001
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 4001
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 4001
@Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:SebiesnrMkudrfcoIaamtykdDa
@Alternate Data Stream - 88 bytes -> C:\MSDOS.SYS:DocumentSummaryInformation
:Commands
[purity]
[emptytemp]
Schritt 2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
 Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:  Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
|
15.06.2011, 00:31
| #8 |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal OTL-Log: Code:
ATTFilter All processes killed
========== OTL ==========
Prefs.js: "" removed from network.proxy.backup.ftp
Prefs.js: 0 removed from network.proxy.backup.ftp_port
Prefs.js: "" removed from network.proxy.backup.gopher
Prefs.js: 0 removed from network.proxy.backup.gopher_port
Prefs.js: "" removed from network.proxy.backup.socks
Prefs.js: 0 removed from network.proxy.backup.socks_port
Prefs.js: "" removed from network.proxy.backup.ssl
Prefs.js: 0 removed from network.proxy.backup.ssl_port
Prefs.js: "127.0.0.1" removed from network.proxy.ftp
Prefs.js: 4001 removed from network.proxy.ftp_port
Prefs.js: "127.0.0.1" removed from network.proxy.gopher
Prefs.js: 4001 removed from network.proxy.gopher_port
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 4001 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "127.0.0.1" removed from network.proxy.socks
Prefs.js: 4001 removed from network.proxy.socks_port
Prefs.js: "127.0.0.1" removed from network.proxy.ssl
Prefs.js: 4001 removed from network.proxy.ssl_port
Unable to delete ADS C:\MSDOS.SYS:SummaryInformation .
Unable to delete ADS C:\MSDOS.SYS:SebiesnrMkudrfcoIaamtykdDa .
Unable to delete ADS C:\MSDOS.SYS:DocumentSummaryInformation .
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: Finn Winter
->Temp folder emptied: 23206193 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 54999500 bytes
->Flash cache emptied: 2744237 bytes
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 4 bytes
%systemroot% .tmp files removed: 58371 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 77,00 mb
OTL by OldTimer - Version 3.2.24.0 log created on 06152011_011144
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Code:
ATTFilter ComboFix 11-06-14.01 - Finn Winter 15.06.2011 1:26.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.388 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Finn Winter\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Finn Winter\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-14 bis 2011-06-14 ))))))))))))))))))))))))))))))
.
.
2099-11-20 14:54 . 2099-11-25 21:42 -------- d-----w- C:\My Music
2099-11-20 14:21 . 2008-11-06 16:37 43528 ------w- c:\windows\system32\drivers\pxhelp20.sys
2099-11-20 14:21 . 2099-11-20 17:57 -------- d-----w- c:\programme\Winamp
2099-11-17 14:11 . 1998-02-13 13:30 143872 ----a-w- c:\windows\system32\iacenc.dll
2099-11-17 14:11 . 1997-11-06 11:53 27648 ----a-w- c:\windows\system32\ir50_lcs.dll
2099-11-17 14:11 . 1997-08-27 08:53 391168 ----a-w- c:\windows\system32\i263_32.drv
2099-11-17 14:11 . 1997-06-13 07:56 56832 ----a-w- c:\windows\system32\Iyvu9_32.dll
2099-11-17 14:10 . 1998-09-02 08:28 38160 ----a-w- c:\windows\system32\LMRTREND.dll
2099-11-17 14:10 . 1998-08-20 11:02 140800 ----a-w- c:\windows\system32\tm20dec.ax
2099-11-17 14:10 . 1998-08-27 04:51 182032 ----a-w- c:\windows\system32\dxtmsft3.dll
2099-11-17 14:10 . 1998-09-02 08:28 63488 ----a-w- c:\windows\system32\unam4ie.exe
2099-11-17 14:10 . 1998-09-02 08:02 194320 ----a-w- c:\windows\system32\qcut.dll
2099-11-17 14:10 . 1998-08-17 09:21 5672 ----a-w- c:\windows\system32\quartz.vxd
2099-11-17 14:10 . 1998-08-17 09:21 10240 ----a-w- c:\windows\system32\vidx16.dll
2099-11-17 14:10 . 1998-08-17 09:21 11776 ----a-w- c:\windows\system32\mciqtz.drv
2099-11-17 14:10 . 2099-11-17 14:10 4608 ----a-w- c:\windows\system32\w95inf32.dll
2099-11-17 14:10 . 2099-11-17 14:10 2272 ----a-w- c:\windows\system32\w95inf16.dll
2099-11-17 14:09 . 2010-08-09 10:15 -------- d-----w- c:\programme\MagixMusicMaker
2011-06-14 19:44 . 2011-06-14 19:44 -------- d-----w- C:\_OTL
2011-06-13 12:50 . 2011-06-13 12:50 -------- d-----w- c:\programme\Trend Micro
2011-06-13 11:48 . 2011-06-13 11:48 -------- d-----w- c:\programme\DriverFinder
2011-06-13 11:47 . 2011-06-13 11:49 -------- d-----w- c:\dokumente und einstellungen\Finn Winter\Anwendungsdaten\DriverFinder
2011-06-13 08:59 . 2011-06-13 08:59 -------- d--h--w- c:\dokumente und einstellungen\Finn Winter\Anwendungsdaten\Malwarebytes
2011-06-13 08:59 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-13 08:59 . 2011-06-13 08:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-06-13 08:59 . 2011-06-13 10:04 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-06-13 08:59 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-12 12:01 . 2011-06-12 12:04 -------- d-----w- c:\programme\ICQ7.5
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2005-05-15 22:54 . 2005-05-15 22:54 61875 ----a-w- c:\programme\Uninstal.exe
2003-09-10 19:51 . 2005-05-15 23:15 1626172 ----a-w- c:\programme\CDex.exe
2003-09-10 19:49 . 2004-01-10 15:59 96768 ----a-w- c:\programme\libsndfile.dll
2003-09-10 19:48 . 2004-01-10 15:59 83456 ----a-w- c:\programme\CDRip.dll
2002-08-07 21:07 . 2004-01-10 15:59 71680 ----a-w- c:\programme\MACDll.dll
2002-04-20 12:07 . 2004-01-10 15:59 69632 ----a-w- c:\programme\WMA8Connect.dll
2011-05-07 16:55 . 2011-05-07 16:55 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-12-13 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-12-13 17:04 2735200 ----a-w- c:\programme\Vuze_Remote\tbVuz1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-12-13 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-12-13 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\Finn Winter\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
"DriverFinder"="c:\programme\DriverFinder\DriverFinder.exe" [2010-12-26 5511368]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"DVDSentry"="c:\windows\System32\DSentry.exe" [2002-08-14 28672]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-27 185896]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"PWRISOVM.EXE"="c:\programme\PowerISO\PWRISOVM.EXE" [2009-03-15 180224]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"Realtime Audio Engine"="mmrtkrnl.exe" [2010-06-29 70144]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Dokumente und Einstellungen\\Finn Winter\\Lokale Einstellungen\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\ICQ7.5\\ICQ.exe"=
.
R2 acedrv11;acedrv11;c:\windows\SYSTEM32\DRIVERS\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.02.2010 19:58 108289]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [07.08.2009 14:47 187456]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [12.06.2010 15:43 247608]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.06.2011 10:59 366640]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\SYSTEM32\DRIVERS\npf_devolo.sys [28.11.2008 15:34 35840]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 13:31 92008]
R3 MBAMProtector;MBAMProtector;c:\windows\SYSTEM32\DRIVERS\mbam.sys [13.06.2011 10:59 22712]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\SYSTEM32\DRIVERS\aspi32.sys [26.12.2003 22:38 16512]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);c:\windows\SYSTEM32\DRIVERS\ZD1211BU.sys [28.10.2005 12:38 402432]
S4 sptd;sptd;c:\windows\SYSTEM32\DRIVERS\sptd.sys [25.02.2009 19:03 717296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
2008-02-25 09:55 7680 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2003-07-25 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-29 02:22]
.
2003-11-27 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2003-07-21 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 83.169.185.161 83.169.185.225
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Finn Winter\Anwendungsdaten\Mozilla\Firefox\Profiles\x7a1n09t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-ICQ - c:\programme\ICQ7.2\ICQ.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Octava SD4 - c:\windows\unin0407.exe
AddRemove-ranSoccer - c:\windows\IsUn0407.exe
AddRemove-Octoshape add-in for Adobe Flash Player - c:\dokumente und einstellungen\Finn Winter\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-15 01:31
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-06-15 01:36:34
ComboFix-quarantined-files.txt 2011-06-14 23:36
.
Vor Suchlauf: 20 Verzeichnis(se), 64.695.111.680 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 64.640.110.592 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 0BE733EF3CDBF669547FE8EA4B392DD4
|
|
15.06.2011, 06:41
| #9 |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Wie läuft das System? |
|
15.06.2011, 11:34
| #10 |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Das System läuft problemlos |
|
15.06.2011, 19:34
| #11 |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmalESET Online Scanner
|
|
15.06.2011, 20:45
| #12 |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Ich habe alle Virenprogramme und Firewalls ausgeschaltet, bekomme aber, wenn ich nach der Installation des ESET Online Scanner auf "Start" klicke, die Fehlermeldung "Can not get Update. Is proxy configured?" Da ich mich leider mit PCs im Allgemeinen und Netzwerkverbindungen kaum auskenne, habe ich keine Ahnung, wie ich diese Problem lösen soll. Hilfe wäre hier noch einmal sehr nett |
|
15.06.2011, 21:56
| #13 |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Proxy deaktivieren IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen. Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken. Versuche es nochmals. |
|
20.06.2011, 14:35
| #14 |
| | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Ich war die letzten Tage nicht da, deshalb jetzt erst der Log Code:
ATTFilter ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=5275f9c345c0624bbc04e6296ee95452
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-16 11:50:47
# local_time=2011-06-16 01:50:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 252005 252005 0 0
# compatibility_mode=1797 16775141 100 94 487474 83736721 245229 0
# compatibility_mode=8192 67108863 100 0 54125 54125 0 0
# scanned=65164
# found=0
# cleaned=0
# scan_time=3636
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=5275f9c345c0624bbc04e6296ee95452
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-20 01:33:20
# local_time=2011-06-20 03:33:20 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 600853 600853 0 0
# compatibility_mode=1797 16775141 100 94 836322 84085569 594077 0
# compatibility_mode=8192 67108863 100 0 402973 402973 0 0
# scanned=111583
# found=2
# cleaned=0
# scan_time=6541
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP250\A0094372.msi probably a variant of Win32/Inject.IAFPDTF trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP251\A0094404.rbf probably a variant of Win32/Inject.IAFPDTF trojan (unable to clean) 00000000000000000000000000000000 I
|
|
21.06.2011, 11:16
| #15 |
| /// Malwareteam | SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal Noch Probleme? |
|
| Themen zu SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal |
| adware.180solutions, antivir guard, bonjour, broken.opencommand, fehler, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware.packer.genx, open office, poweriso, pum.hidden.desktop, pum.hijack.displayproperties, pum.hijack.taskmanager, scan, spr/autoit.gen, spyware.onlinegames, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojan.fakealert, trojan.spyeyes, windows, windows xp |
Textbox.
Linear-Darstellung
