| |
| |||||||
Log-Analyse und Auswertung: Trojanische Pferd TR/Agent2.lkhWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.06.2011, 17:46
| #1 |
 |  Trojanische Pferd TR/Agent2.lkh Hallo zusammen, ich habe heute mal einen Scan mit Antivir durchgeführt, da ich den Verdacht auf einen Virus hatte. Dies hat sich dann auch bestätigt. Des Weiteren habe ich das Gefühl, dass meine Internetleitung teilweise sehr stark ausgelastet ist, obwohl ich nichts mache. Hier mal die ganzen Logfiles: AntiVir: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. Juni 2011 17:21
Es wird nach 2820912 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : NAME-KOFWFF94UK
Versionsinformationen:
BUILD.DAT : 10.0.0.650 31822 Bytes 17.06.2011 15:21:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 13.06.2011 19:42:40
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.12.2010 07:39:37
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 07:39:26
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:58:49
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:53:12
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:53:15
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 19:42:39
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 19:42:39
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 19:42:39
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 19:42:39
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 19:42:39
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 19:42:39
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 19:42:39
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 19:42:39
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 19:42:39
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 19:42:39
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 19:42:39
VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 19:42:39
VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 19:42:39
VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 19:42:39
VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 19:42:39
VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 15:58:27
VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 15:58:29
VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 20:51:44
VBASE022.VDF : 7.11.10.28 152576 Bytes 20.06.2011 15:53:39
VBASE023.VDF : 7.11.10.53 210432 Bytes 21.06.2011 18:49:44
VBASE024.VDF : 7.11.10.54 2048 Bytes 21.06.2011 18:49:44
VBASE025.VDF : 7.11.10.55 2048 Bytes 21.06.2011 18:49:44
VBASE026.VDF : 7.11.10.56 2048 Bytes 21.06.2011 18:49:44
VBASE027.VDF : 7.11.10.57 2048 Bytes 21.06.2011 18:49:44
VBASE028.VDF : 7.11.10.58 2048 Bytes 21.06.2011 18:49:44
VBASE029.VDF : 7.11.10.59 2048 Bytes 21.06.2011 18:49:44
VBASE030.VDF : 7.11.10.60 2048 Bytes 21.06.2011 18:49:44
VBASE031.VDF : 7.11.10.79 109568 Bytes 23.06.2011 11:37:11
Engineversion : 8.2.5.24
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:16
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 13.06.2011 19:42:40
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16
AESBX.DLL : 8.2.1.34 323957 Bytes 13.06.2011 19:42:40
AERDL.DLL : 8.1.9.9 639347 Bytes 12.04.2011 16:53:24
AEPACK.DLL : 8.2.6.9 557429 Bytes 16.06.2011 15:59:18
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 13.06.2011 19:42:39
AEHEUR.DLL : 8.1.2.132 3567992 Bytes 22.06.2011 18:49:47
AEHELP.DLL : 8.1.17.2 246135 Bytes 13.06.2011 19:42:39
AEGEN.DLL : 8.1.5.6 401780 Bytes 13.06.2011 19:42:39
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.21.1 196983 Bytes 13.06.2011 19:42:39
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.12.2010 07:39:19
AVREP.DLL : 10.0.0.10 174120 Bytes 13.06.2011 19:42:40
AVREG.DLL : 10.0.3.2 53096 Bytes 13.12.2010 07:39:19
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 13.06.2011 19:42:40
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 07:39:17
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.12.2010 07:39:18
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.12.2010 07:39:38
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Donnerstag, 23. Juni 2011 17:21
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\bqpnzjs.dll
c:\windows\system32\bqpnzjs.dll
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mscorsvw.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'HelpHost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'HelpSvc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'helpctr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'SuperHybridEngine.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpzrcv01.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsEPCMon.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsAcpiSvr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsTray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDDect.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrl.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '410' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015138.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.69
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015144.EXE
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015146.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015147.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015148.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
Beginne mit der Desinfektion:
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015148.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015147.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015146.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015144.EXE
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.24
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{4E6033BC-2E0B-41AA-A598-1B4507984BBE}\RP10\A0015138.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkh.69
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Donnerstag, 23. Juni 2011 18:54
Benötigte Zeit: 1:11:06 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
11110 Verzeichnisse wurden überprüft
309761 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
309756 Dateien ohne Befall
8835 Archive wurden durchsucht
0 Warnungen
6 Hinweise
320923 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
OTL: Code:
ATTFilter OTL logfile created on: 23.06.2011 17:12:39 - Run 1 OTL by OldTimer - Version 3.2.20.0 Folder = C:\Dokumente und Einstellungen\Media Markt RT\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.015,00 Mb Total Physical Memory | 539,00 Mb Available Physical Memory | 53,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 79,99 Gb Total Space | 55,75 Gb Free Space | 69,70% Space Free | Partition Type: NTFS Drive D: | 61,20 Gb Total Space | 58,56 Gb Free Space | 95,70% Space Free | Partition Type: NTFS Computer Name: NAME-KOFWFF94UK | User Name: Media Markt RT | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.06.13 21:42:40 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2011.04.12 18:53:25 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.08 12:59:52 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2011.01.02 14:36:26 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\OTL.exe PRC - [2010.12.13 09:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.05.19 11:36:18 | 000,240,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe PRC - [2008.10.13 04:54:55 | 000,335,872 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDCTRL.EXE PRC - [2008.09.17 16:15:34 | 000,376,832 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe PRC - [2008.09.17 15:54:20 | 000,106,496 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsTray.exe PRC - [2008.09.16 18:16:38 | 000,593,920 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsAcpiSvr.exe PRC - [2008.09.02 08:26:16 | 000,604,776 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe PRC - [2008.08.22 11:18:42 | 000,204,800 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDDECT.EXE PRC - [2008.05.21 02:56:24 | 000,094,208 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsEPCMon.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.12.19 17:07:40 | 000,163,840 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\igfxext.exe PRC - [2007.01.04 20:48:52 | 000,112,152 | R--- | M] (InterVideo) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe PRC - [2006.03.03 21:03:10 | 000,069,632 | ---- | M] (HP) -- C:\WINDOWS\system32\HPZipm12.exe ========== Modules (SafeList) ========== MOD - [2011.01.02 14:36:26 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\OTL.exe MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll MOD - [2008.10.14 05:27:05 | 000,249,856 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDAPIX.DLL MOD - [2008.09.02 08:25:10 | 000,073,728 | ---- | M] (Broadcom Corporation.) -- C:\WINDOWS\system32\BtMmHook.dll MOD - [2008.09.02 08:23:22 | 000,040,960 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt) SRV - [2011.06.13 21:42:40 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.04.12 18:53:25 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.19 11:36:18 | 000,240,512 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort) SRV - [2008.11.04 01:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2007.01.04 20:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr) SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2006.03.03 21:03:10 | 000,069,632 | ---- | M] (HP) [Unknown | Running] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2011.04.12 18:53:26 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.12.13 09:39:38 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.10.22 16:11:14 | 000,057,800 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS) DRV - [2009.10.22 16:09:34 | 000,072,520 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K) DRV - [2008.10.01 13:54:37 | 000,021,504 | ---- | M] (ELANTECH Devices Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ETD.sys -- (Ktp) DRV - [2008.09.23 19:15:00 | 000,038,400 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e) DRV - [2008.09.18 20:44:38 | 001,326,528 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008.09.18 12:48:58 | 004,816,896 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.08.19 16:16:36 | 000,991,656 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL) DRV - [2008.08.19 16:16:28 | 000,047,272 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2008.07.24 11:37:10 | 000,156,816 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS) DRV - [2008.05.30 05:46:12 | 000,534,568 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio) DRV - [2008.04.14 14:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2008.04.14 00:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM) DRV - [2008.04.08 16:59:28 | 000,010,752 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS -- (AsusACPI) DRV - [2008.03.10 12:18:42 | 000,057,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid) DRV - [2008.02.04 11:57:44 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver) DRV - [2008.02.04 11:57:30 | 000,037,032 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwmodem.sys -- (btwmodem) DRV - [2007.12.19 17:32:12 | 005,854,688 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\igxpmp32.sys -- (ialm) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig" FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.52 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=" FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.21 18:22:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.20 17:43:43 | 000,000,000 | ---D | M] [2010.12.24 22:04:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Extensions [2010.12.24 22:04:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2011.06.20 17:44:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Firefox\Profiles\8fa6zt76.default\extensions [2010.05.15 01:38:12 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Firefox\Profiles\8fa6zt76.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.06.20 17:44:34 | 000,000,000 | ---D | M] (BitDefender QuickScan) -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Firefox\Profiles\8fa6zt76.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} [2011.11.23 13:40:45 | 000,001,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Mozilla\Firefox\Profiles\8fa6zt76.default\searchplugins\icqplugin.xml [2011.06.21 18:03:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.05.15 01:59:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.21 01:50:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2011.06.21 18:03:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} File not found (No name found) -- [2009.12.26 00:51:07 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011.06.21 18:22:12 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.01.12 22:03:50 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll [2011.06.20 17:43:21 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.06.20 17:43:21 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2011.06.20 17:43:21 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.06.20 17:43:21 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.06.20 17:43:21 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.06.20 17:43:21 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.06.21 18:14:54 | 000,001,292 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 activate.adobe.com O1 - Hosts: 127.0.0.1 practivate.adobe.com O1 - Hosts: 127.0.0.1 ereg.adobe.com O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com O1 - Hosts: 127.0.0.1 wip3.adobe.com O1 - Hosts: 127.0.0.1 3dns-3.adobe.com O1 - Hosts: 127.0.0.1 3dns-2.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com O1 - Hosts: 127.0.0.1 activate-sea.adobe.com O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ETDWare] C:\Programme\Elantech\ETDCTRL.EXE (ELANTECH Devices Corp.) O4 - HKLM..\Run: [ETDWareDetect] C:\Programme\Elantech\ETDDECT.EXE (ELANTECH Devices Corp.) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255525874734 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255525861562 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.11.05 14:53:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447) ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {86C70935-2248-4A9F-48C5-65DEDB75F323} - Browseranpassungen ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C895AC9B-5CDB-7443-7F7A-83BBA1601726} - Internet Explorer ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: mkgnuae - C:\WINDOWS\System32\bqpnzjs.dll File not found NetSvcs: yjwxxc - C:\WINDOWS\System32\bqpnzjs.dll File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe File not found MsConfig - StartUpReg: ICQ - hkey= - key= - C:\Programme\ICQ7.2\ICQ.exe File not found MsConfig - StartUpReg: Messenger (Yahoo!) - hkey= - key= - C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe File not found MsConfig - StartUpReg: MsnMsgr - hkey= - key= - C:\Programme\Windows Live\Messenger\msnmsgr.exe (Microsoft Corporation) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point (16902109354000384) ========== Files/Folders - Created Within 30 Days ========== [2011.06.23 14:32:39 | 000,000,000 | ---D | C] -- C:\Programme\HP [2011.06.23 14:30:18 | 000,098,304 | ---- | C] (Hewlett Packard Company) -- C:\WINDOWS\System32\hpzjsn01.dll [2011.06.21 23:51:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.06.21 18:04:16 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2011.06.21 18:01:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ICQ7.5 [2011.06.21 17:58:42 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.5 [2011.06.20 19:50:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TeamViewer 6 [2011.06.20 19:47:52 | 000,000,000 | ---D | C] -- C:\Programme\FlashFXP 4 [2011.06.20 19:47:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP [2011.06.20 19:31:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [2011.06.20 19:18:42 | 000,000,000 | ---D | C] -- C:\Programme\CandiSoft [2011.06.20 00:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Deutsche Nationalspielerinnen Playboy 2011 [2011.06.16 19:03:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Live [2011.06.16 18:17:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinSCP [2011.06.16 18:17:57 | 000,000,000 | ---D | C] -- C:\Programme\WinSCP [2011.06.16 18:14:42 | 000,454,656 | ---- | C] (Simon Tatham) -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\putty.exe [2011.06.06 19:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\vlc [2011.06.06 19:26:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoLAN [2011.06.06 19:25:33 | 000,000,000 | ---D | C] -- C:\Programme\VideoLAN [2008.11.05 17:48:07 | 015,523,560 | ---- | C] (Macrovision Corporation) -- C:\Programme\U1 Setup.exe [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.06.23 17:25:27 | 000,463,254 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.06.23 17:25:27 | 000,444,670 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.06.23 17:25:27 | 000,085,852 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.06.23 17:25:27 | 000,072,354 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.06.23 17:09:44 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\defogger_reenable [2011.06.23 17:08:43 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Defogger.exe [2011.06.23 17:03:11 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011.06.23 16:56:27 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.06.23 16:56:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.06.23 14:50:05 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.06.23 14:22:55 | 004,579,285 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Neu_05-2011-RLP-SL-Coupon-front-back-Alle.pdf [2011.06.23 13:46:07 | 000,075,931 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\ichouho.JPG [2011.06.22 23:44:00 | 000,489,019 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\FLT_AM8U3O20489_0.pdf [2011.06.22 20:37:08 | 002,145,312 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.06.22 00:10:36 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.06.21 18:01:58 | 000,001,451 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.5.lnk [2011.06.20 19:50:19 | 000,000,787 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 6.lnk [2011.06.20 19:47:54 | 000,000,668 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashFXP.lnk [2011.06.20 19:33:37 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Microsoft Office Outlook 2007.lnk [2011.06.20 19:18:50 | 000,001,595 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CandiSoft Load!.lnk [2011.06.16 18:28:55 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND [2011.06.16 18:28:50 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\winscp.rnd [2011.06.16 18:18:00 | 000,001,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\WinSCP.lnk [2011.06.16 18:07:31 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 8.lnk [2011.06.14 22:20:47 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Neu Word 2007-Dokument.docx [2011.06.08 23:01:28 | 004,162,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Aufgabe.rar [2011.06.08 19:31:34 | 001,276,844 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\2011-06-08 Aufhebungsvereinbarung VORLAGE.pdf [2011.06.08 18:57:18 | 000,001,326 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\wklnhst.dat [2011.06.06 19:45:40 | 000,009,412 | ---- | M] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\1u12ellasp4v.dlc [2011.06.06 19:26:22 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.06.23 17:09:44 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\defogger_reenable [2011.06.23 17:09:28 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Defogger.exe [2011.06.23 14:30:37 | 000,001,476 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2011.06.23 14:30:17 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll [2011.06.23 14:22:53 | 004,579,285 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Neu_05-2011-RLP-SL-Coupon-front-back-Alle.pdf [2011.06.23 13:46:06 | 000,075,931 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\ichouho.JPG [2011.06.22 23:44:00 | 000,489,019 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\FLT_AM8U3O20489_0.pdf [2011.06.21 18:01:58 | 000,001,451 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.5.lnk [2011.06.20 19:50:19 | 000,000,787 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 6.lnk [2011.06.20 19:47:54 | 000,000,668 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashFXP.lnk [2011.06.20 19:31:59 | 000,002,243 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011.06.20 19:18:50 | 000,001,595 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CandiSoft Load!.lnk [2011.06.16 18:18:02 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\winscp.rnd [2011.06.16 18:18:00 | 000,001,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\WinSCP.lnk [2011.06.16 18:07:31 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 8.lnk [2011.06.14 22:20:47 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Neu Word 2007-Dokument.docx [2011.06.08 23:01:48 | 004,162,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\Aufgabe.rar [2011.06.08 19:31:34 | 001,276,844 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\2011-06-08 Aufhebungsvereinbarung VORLAGE.pdf [2011.06.06 19:45:37 | 000,009,412 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Desktop\1u12ellasp4v.dlc [2011.06.06 19:26:22 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.10.12 23:50:17 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND [2009.12.30 21:18:10 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.12.27 22:00:20 | 000,001,326 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\wklnhst.dat [2009.10.14 13:28:21 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\$_hpcst$.hpc [2009.10.14 00:08:39 | 000,000,120 | ---- | C] () -- C:\WINDOWS\System32\everest_cpl.ini [2009.10.13 13:35:07 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat [2009.09.05 14:52:23 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Media Markt RT\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.11.05 19:22:19 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008.11.05 17:51:39 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2008.11.05 17:51:39 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2008.11.05 17:51:39 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2008.11.05 17:51:39 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2008.11.05 17:51:39 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2008.11.05 17:51:39 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2008.11.05 17:37:59 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll [2008.11.05 14:45:31 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.11.05 14:38:10 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2008.09.02 08:25:26 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll [2008.07.30 20:31:52 | 000,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini [2008.03.17 16:54:36 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini [2001.11.14 14:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll ========== LOP Check ========== [2011.06.20 19:47:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP [2010.10.11 15:54:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.02.25 04:52:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.12.24 22:06:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.12.29 15:20:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\FileZilla [2011.06.23 17:07:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\ICQ [2009.09.10 18:12:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\InterVideo [2010.12.20 12:17:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\OCS [2010.12.20 12:17:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Opera [2011.05.18 20:18:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\QuickScan [2011.06.20 19:50:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\TeamViewer [2009.12.27 22:00:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\Template [2010.12.24 22:04:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Media Markt RT\Anwendungsdaten\TomTom ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2009.10.24 02:28:19 | 000,000,000 | ---D | M] -- C:\614dd2066a6c4aa9e1d2 [2011.06.22 00:13:12 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2011.06.22 20:45:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2010.12.28 04:19:40 | 000,000,000 | ---D | M] -- C:\Downloads [2008.11.05 17:36:56 | 000,000,000 | ---D | M] -- C:\Intel [2010.06.28 21:36:32 | 000,000,000 | RH-D | M] -- C:\MSOCache [2011.06.23 15:10:55 | 000,000,000 | R--D | M] -- C:\Programme [2009.09.14 15:34:49 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2010.12.30 11:52:36 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2010.12.20 14:25:13 | 000,000,000 | ---D | M] -- C:\Temp [2011.06.23 16:55:25 | 000,000,000 | ---D | M] -- C:\WINDOWS [2010.12.20 14:29:47 | 000,000,000 | ---D | M] -- C:\XP-Download < %PROGRAMFILES%\*.exe > [2008.05.07 10:34:00 | 015,523,560 | ---- | M] (Macrovision Corporation) -- C:\Programme\U1 Setup.exe Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\I386\REGEDIT.EXE [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-21 22:13:13 < > ========== Alternate Data Streams ========== @Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A868D37 < End of report > Extras: Code:
ATTFilter OTL Extras logfile created on: 23.06.2011 17:12:39 - Run 1
OTL by OldTimer - Version 3.2.20.0 Folder = C:\Dokumente und Einstellungen\Media Markt RT\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.015,00 Mb Total Physical Memory | 539,00 Mb Available Physical Memory | 53,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 79,99 Gb Total Space | 55,75 Gb Free Space | 69,70% Space Free | Partition Type: NTFS
Drive D: | 61,20 Gb Total Space | 58,56 Gb Free Space | 95,70% Space Free | Partition Type: NTFS
Computer Name: NAME-KOFWFF94UK | User Name: Media Markt RT | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.js [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
.txt [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1819:TCP" = 1819:TCP:*:Enabled:atfzthb
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- File not found
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Acer\ProjectorGateway\AcerProjectorGateway.exe" = C:\Acer\ProjectorGateway\AcerProjectorGateway.exe:*:Enabled:ACER -- File not found
"C:\Programme\CandiSoft\Load!\Load.exe" = C:\Programme\CandiSoft\Load!\Load.exe:*:Enabled:CandiSoft Load! -- (CandiSoft)
"C:\Programme\TeamViewer\Version6\TeamViewer.exe" = C:\Programme\TeamViewer\Version6\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.5 Build #5242 Banner Remover 1.1
"{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 26
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{586509F0-350D-48B5-B763-9CC2F8D96C4C}" = Windows Live Sync
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{69333A04-5134-40A5-A055-9166A7AA1EC8}" =
"{6E4DAE31-7CF3-441A-B6E5-B014D63C80CD}" = Eee Instant Key
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{82F2B38B-1426-443D-874C-AC25675E7BEB}" = Windows Live Mail
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Azurewave Wireless LAN
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v4.0
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A83000000003}" = Adobe Reader 8.3.0 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C86E7C99-E4AD-79C7-375B-1AEF9A91EC2B}" = Acrobat.com
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{E8EE9410-8AC4-4F43-A626-DDECA75C79F3}" = Adobe Setup
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F18DB86D-BC16-4E01-BCCE-63F62B931D82}" = InterVideo Register Manager
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_b2d6abde968e6f277ddbfd501383e02" = Adobe Creative Suite 4 Master Collection
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CandiSoft Load!" = CandiSoft Load!
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"DreamBoxEdit" = DreamBoxEdit -- The one and only settings editor for your Dreambox
"Eee Storage" = Eee Storage 1.2.10.245
"Elantech" = ETDWare PS/2-x86 7.0.3.9 WHQL 13Oct08
"ENTERPRISE" = Microsoft Office Enterprise 2007
"FileZilla Client" = FileZilla Client 3.2.7.1
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 5.0 (x86 de)" = Mozilla Firefox 5.0 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"TeamViewer 5" = TeamViewer 5
"TeamViewer 6" = TeamViewer 6
"VLC media player" = VLC media player 1.1.10
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"winscp3_is1" = WinSCP 4.3.3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Anwendungserkennung
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.06.2011 09:11:48 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:52 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:53 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:53 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:54 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:55 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:55 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:56 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 09:11:56 | Computer Name = NAME-KOFWFF94UK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 23.06.2011 11:20:46 | Computer Name = NAME-KOFWFF94UK | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x0117fb35.
[ OSession Events ]
Error - 10.07.2010 10:29:36 | Computer Name = NAME-KOFWFF94UK | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6423.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 6
seconds with 0 seconds of active time. This session ended with a crash.
Error - 10.07.2010 10:29:54 | Computer Name = NAME-KOFWFF94UK | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6423.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 6
seconds with 0 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 23.06.2011 09:13:47 | Computer Name = NAME-KOFWFF94UK | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 23.06.2011 09:16:51 | Computer Name = NAME-KOFWFF94UK | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 23.06.2011 11:19:03 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 23.06.2011 11:19:03 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7023
Description = Der Dienst "jkhcadue" wurde mit folgendem Fehler beendet: %%126
Error - 23.06.2011 11:19:03 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "TomTomHOMEService" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2
Error - 23.06.2011 11:19:03 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Server Shell" wurde mit folgendem Fehler beendet: %%126
Error - 23.06.2011 10:57:05 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 23.06.2011 10:57:05 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7023
Description = Der Dienst "jkhcadue" wurde mit folgendem Fehler beendet: %%126
Error - 23.06.2011 10:57:05 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "TomTomHOMEService" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2
Error - 23.06.2011 10:57:05 | Computer Name = NAME-KOFWFF94UK | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Server Shell" wurde mit folgendem Fehler beendet: %%126
< End of report >
Gmer: Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-23 18:39:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: mg1kmewf.exe; Driver: C:\DOKUME~1\MEDIAM~1\LOKALE~1\Temp\pwtcipow.sys
---- System - GMER 1.0.15 ----
SSDT F7B72F96 ZwCreateKey
SSDT F7B72F8C ZwCreateThread
SSDT F7B72F9B ZwDeleteKey
SSDT F7B72FA5 ZwDeleteValueKey
SSDT F7B72FAA ZwLoadKey
SSDT F7B72F78 ZwOpenProcess
SSDT F7B72F7D ZwOpenThread
SSDT F7B72FB4 ZwReplaceKey
SSDT F7B72FAF ZwRestoreKey
SSDT F7B72FA0 ZwSetValueKey
---- Devices - GMER 1.0.15 ----
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device A89A8D20
AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@DisplayName jkhcadue
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@Type 32
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@Start 2
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae@Description Stellt die Designverwaltung zur Verf?gung.
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\mkgnuae\Parameters@ServiceDll C:\WINDOWS\system32\bqpnzjs.dll
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@DisplayName Server Shell
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@Type 32
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@Start 2
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc@Description Stellt die Designverwaltung zur Verf?gung.
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\yjwxxc\Parameters@ServiceDll C:\WINDOWS\system32\bqpnzjs.dll
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@DisplayName jkhcadue
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae@Description Stellt die Designverwaltung zur Verf?gung.
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\mkgnuae\Parameters@ServiceDll C:\WINDOWS\system32\bqpnzjs.dll
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@DisplayName Server Shell
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc@Description Stellt die Designverwaltung zur Verf?gung.
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\yjwxxc\Parameters@ServiceDll C:\WINDOWS\system32\bqpnzjs.dll
---- EOF - GMER 1.0.15 ----
|
|
24.06.2011, 09:31
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojanische Pferd TR/Agent2.lkh Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ |
|
24.06.2011, 15:52
| #3 |
| | Trojanische Pferd TR/Agent2.lkh Hier das Logfile:
__________________Die Funde hab ich entfernen lassen... Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6931
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
24.06.2011 16:51:58
mbam-log-2011-06-24 (16-51-58).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 228421
Laufzeit: 1 Stunde(n), 13 Minute(n), 36 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
d:\system volume information\_restore{4e6033bc-2e0b-41aa-a598-1b4507984bbe}\RP10\A0015143.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{4e6033bc-2e0b-41aa-a598-1b4507984bbe}\RP10\A0015145.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{4e6033bc-2e0b-41aa-a598-1b4507984bbe}\RP10\A0015374.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
|
|
24.06.2011, 21:13
| #4 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojanische Pferd TR/Agent2.lkh Wenn ich das hier sehe: Zitat:
Zitat:
GMER befördert da auch einige Rookits zu Tage: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Trojanische Pferd TR/Agent2.lkh |
| 0x00000001, alternate, antivir, bho, c:\windows\system32\rundll32.exe, dllhost.exe, dont.steal.our.software, error, hewlett packard, home, internetleitung, jdownloader, mbamservice.exe, microsoft office word, office 2007, plug-in, programm, realtek, security, security update, server, svchost.exe, tr/agent2.lkh, tr/agent2.lkh.24, tr/agent2.lkh.69, trojan.agent, virus gefunden, visual studio, windows internet, wuauclt.exe |
Linear-Darstellung
