MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk

mabikus · 28.06.2011, 15:54

Hallo erstmal,

bin am Rande der Verzweiflung deswegen wende ich mich an euch.

Zuerst mal die Struktur:
Netzwerk hat 3 Server(2003 und 2008) und 24 Clients (alle XP Service Pack 2 od. 3).

Und es sind alle Clients und der Terminalserver befallen. Folgende zwei Meldungen erscheinen im 30 Minuten-Takt.

WORM_DOWNAD.AD C:\Windows\System32\jffphd.zh (Dateiname variert)
Mal_DownadJ C:\Windows\Tasks\At1.job

Ich denke das der Schädling sich über den Datenaustausch (Freigabe auf TS) verteilt hat. Weil dort der erste Fund war. (autorun.inf) und da jeder user sich dieses laufwerk mappt sind jetzt alle infiziert. Im datenaustausch wurde ein Recycler erstellt welcher einen trojaner (TROJ_AUTORUN.BNA) in sich hatte. Diesen habe ich entfernt und auch jetzt den ganzen Tag nicht mehr gesehen!

Es wird als Viren Software ein Trend Micro Worry Free Buissness Security eingesetzt.

Bin gerne bereit jegliche LOGS zu posten hab nur keine Ahnung was ihr braucht.

Achja. Removal Tools haben alle nichts gebracht. Habe mich auch in dem Thema hier durchgewühlt WORM_DOWNAD.AD der user hatte das gleiche Problem! Aber weit kommen tue ich damit nicht. Danke!

cosinus · 28.06.2011, 20:49

Zitat:

Netzwerk hat 3 Server(2003 und 2008) und 24 Clients (alle XP Service Pack 2 od. 3).

Du willst jetzt hier aber nicht fast 30 Systeme bereinigen lassen?

Wieso haben manche XP-Client nur SP2?
Welchen Patchstand haben die Server?

Existiert ein vernünftiges Backupkonzept, liegen saubere Images der Clients und Server vor (wohl nicht)

mabikus · 29.06.2011, 08:15

Morgen und danke für die schnelle Antwort.

Also gesäubert werden die jede halbe Stunde durch den Trend Micro (Also denke nicht das ich irgendeiner Gefahr ausgesetzt bin, es nervt halt nur) aber der taucht dann wieder auf. Habe jetzt 600 Meldungen über Nacht von dem Virus auf dem Terminalserver.

Images nein. Hätte kein Problem damit ein Image zu erstellen. Und die Rechner zu clonen aber dafür müsste doch zuerst mal der TS sauber sein oder sehe ich das falsch?
Rechner wurden nie sauber gepatcht weil die Clients zum größten teil nur als Thin-Clients gebraucht werden.
Backups ja! Aber der Schädling taucht immer wieder auf.
Server sind auf dem neusten Patchstand und wurden regelmäßig gepatcht.

Lg Markus

cosinus · 29.06.2011, 09:18

Zitat:

Also gesäubert werden die jede halbe Stunde durch den Trend Micro (Also denke nicht das ich irgendeiner Gefahr ausgesetzt bin, es nervt halt nur) aber der taucht dann wieder auf.

Das ist keine Säuberung in dem Sinn, der eigentliche Verursacher wird ja nicht entfernt. Sich in dieser Situation sich jetzt nur auf den Scanner zu lassen ist oberflächliche Symptomdoktorei.

Zitat:

Habe jetzt 600 Meldungen über Nacht von dem Virus auf dem Terminalserver.

Log dazu bitte nachreichen.

Welcher Server hat Prio weiter oben? Dann würde ich vorschlagen du behandelst erstmal nur einen einen und postest die Logs davon:

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

mabikus · 29.06.2011, 09:27

Morgen.

Mein TrendMicro hat jetzt noch bei folgenden Dateien angeschlagen.

C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH6N83MT\bhxh[1].bmp

WORM_DOWNAD.AD

Diese Datei kann von Trend Micro nicht gesäubert oder gelöscht werden!!!!!!!
Zusätzlich kommt:

R:\ ( Netzlaufwerk) AutoRun.inf TROJ_AUTORUN.BNA

Diese Datei kann ebenfalls nicht gelöscht oder gesäubert werden!

Jedoch ist die Autorun.inf nicht zu finden stattdessen wird ein Recycler erstellt in dem sich die S-ID S-5-3-42-2819952290-8240758988-879315005-3665 in dem Recycler befindet sich eine jwgkvsq.vmx

mabikus · 29.06.2011, 09:56

Ja also Priorität hat der Terminalserver. Hier das log:

Code:

ATTFilter

OTL logfile created on: 29.06.2011 10:37:26 - Run 1
OTL by OldTimer - Version 3.2.24.1     Folder = C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop
64bit-Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTServer
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
15,99 Gb Total Physical Memory | 7,92 Gb Available Physical Memory | 49,52% Memory free
31,37 Gb Paging File | 21,53 Gb Available in Paging File | 68,63% Paging File free
Paging file location(s): c:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme (x86)
Drive C: | 117,18 Gb Total Space | 63,80 Gb Free Space | 54,45% Space Free | Partition Type: NTFS
Drive D: | 426,70 Gb Total Space | 414,76 Gb Free Space | 97,20% Space Free | Partition Type: NTFS
Drive K: | 341,80 Gb Total Space | 162,91 Gb Free Space | 47,66% Space Free | Partition Type: NTFS
Drive Z: | 68,36 Gb Total Space | 52,41 Gb Free Space | 76,67% Space Free | Partition Type: NTFS
 
Computer Name: TS1 | User Name: administrator | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.05.27 10:33:24 | 001,217,024 | ---- | M] (R.F.S England + DIAC France) -- C:\Programme (x86)\LEAR\Pve.exe
PRC - [2011.03.24 10:36:07 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme (x86)\Mozilla Firefox\firefox.exe
PRC - [2010.12.13 18:06:40 | 000,958,464 | ---- | M] (CPL GmbH) -- \\ah-listle\database\CPL\CPL-UpdateRD.exe
PRC - [2010.11.24 17:46:46 | 001,726,976 | ---- | M] (sw4you, Siegfried Weckmann) -- C:\Programme (x86)\Hardcopy\hardcopy.exe
PRC - [2010.11.22 10:00:24 | 000,984,464 | ---- | M] (SBS Software GmbH) -- C:\Programme (x86)\SBS-Software\SBS-Rewe\SRP.exe
PRC - [2010.11.03 09:11:00 | 006,836,224 | ---- | M] (Systemtechnik Hoffmann) -- C:\Programme (x86)\sth\cos\Cos.exe
PRC - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () -- C:\Programme (x86)\Haufe\iDesk\iDeskService\ideskservice.exe
PRC - [2010.10.15 05:16:30 | 000,011,120 | ---- | M] (Haufe Mediengruppe) -- C:\Programme (x86)\Haufe\iDesk\iDeskService\ideskpython.exe
PRC - [2010.06.25 10:52:28 | 000,352,256 | ---- | M] (RCI Banque Deutschland) -- C:\Programme (x86)\LEAR\UpdLear.exe
PRC - [2010.06.17 22:56:44 | 000,370,176 | ---- | M] (shbox.de) -- C:\Programme (x86)\FreePDF_XP\fpassist.exe
PRC - [2010.03.02 16:52:22 | 000,495,616 | ---- | M] () -- C:\Programme (x86)\MegaRAID Storage Manager\MegaMonitor\mrmonitor.exe
PRC - [2010.02.17 16:39:21 | 000,336,428 | ---- | M] () -- C:\Programme\Dialogys\data\Dialogys.exe
PRC - [2010.01.14 14:03:42 | 000,144,792 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme (x86)\MegaRAID Storage Manager\JRE\bin\javaw.exe
PRC - [2010.01.14 14:01:34 | 000,072,760 | ---- | M] () -- C:\Programme (x86)\MegaRAID Storage Manager\Framework\VivaldiFramework.exe
PRC - [2009.07.22 12:09:00 | 000,435,584 | ---- | M] (Trend Micro Inc.) -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\CNTAoSMgr.exe
PRC - [2008.11.18 20:57:22 | 000,044,176 | ---- | M] (Panasonic Corporation) -- C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
PRC - [2008.02.28 09:54:58 | 000,046,080 | ---- | M] () -- C:\KKV\CustCare.EXE
PRC - [2007.02.18 06:00:00 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\cmd.exe
PRC - [2006.10.18 10:26:30 | 000,045,161 | ---- | M] () -- C:\Programme\_jvm\bin\java.exe
PRC - [2006.05.16 23:15:10 | 000,071,288 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme (x86)\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
PRC - [2005.09.19 18:19:43 | 000,076,288 | ---- | M] () -- C:\Programme (x86)\Remote Task Manager\rtmservice.exe
PRC - [2004.12.03 05:30:00 | 000,809,472 | ---- | M] (IBM Corporation) -- C:\Programme (x86)\IBM\Client Access\Emulator\pcsws.exe
PRC - [2004.12.03 05:30:00 | 000,016,896 | ---- | M] (IBM Corporation) -- C:\Programme (x86)\IBM\Client Access\Emulator\pcscm.exe
PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.06.29 10:30:31 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\OTL.exe
MOD - [2010.09.30 10:14:19 | 000,055,296 | ---- | M] () -- C:\Programme (x86)\Hardcopy\hardcopy_03.dll
MOD - [2010.09.07 19:05:44 | 001,051,648 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\wow64_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.4770_x-ww_8D2E3180\comctl32.dll
MOD - [2010.04.21 11:00:35 | 000,058,368 | ---- | M] () -- C:\Programme (x86)\Hardcopy\HcDLL2_30_Win32.dll
MOD - [2007.02.18 06:00:00 | 001,635,328 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\comres.dll
MOD - [2007.02.18 06:00:00 | 000,188,416 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\netui1.dll
MOD - [2007.02.18 06:00:00 | 000,078,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\netui0.dll
MOD - [2007.02.18 06:00:00 | 000,058,880 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\tsappcmp.dll
MOD - [2007.02.18 06:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\winsta.dll
MOD - [2007.02.18 06:00:00 | 000,044,032 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\ntlanman.dll
MOD - [2007.02.18 06:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\davclnt.dll
MOD - [2007.02.18 06:00:00 | 000,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\drprov.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2009.12.31 11:17:42 | 000,013,664 | ---- | M] (Aladdin Knowledge Systems, Ltd.) [Auto | Running] -- C:\Programme\Aladdin\eToken\PKIClient\x64\eTSrv.exe -- (eTSrv)
SRV:64bit: - [2009.08.06 21:43:50 | 000,034,720 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Update Services\Service\bin\WsusService.exe -- (WsusService)
SRV:64bit: - [2009.08.06 21:36:06 | 000,077,224 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Update Services\Service\bin\WsusCertServer.exe -- (WSusCertServer)
SRV:64bit: - [2008.09.12 00:35:12 | 001,743,688 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe -- (BackupExecAgentAccelerator)
SRV - [2010.12.15 18:20:41 | 000,147,336 | ---- | M] (LogMeIn, Inc.) [Auto | Running] -- C:\Programme (x86)\LogMeIn\x64\RaMaint.exe -- (LMIMaint)
SRV - [2010.12.15 18:18:22 | 000,373,640 | ---- | M] (LogMeIn, Inc.) [Auto | Running] -- C:\Programme (x86)\LogMeIn\x64\LMIGuardianSvc.exe -- (LMIGuardianSvc)
SRV - [2010.12.08 18:19:54 | 000,407,424 | ---- | M] (LogMeIn, Inc.) [Auto | Running] -- C:\Programme (x86)\LogMeIn\x64\LogMeIn.exe -- (LogMeIn)
SRV - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () [Auto | Running] -- C:\Programme (x86)\Haufe\iDesk\iDeskService\iDeskService.exe -- (HRService) Haufe iDesk-Service in C:\Programme (x86)
SRV - [2010.03.02 16:52:22 | 000,495,616 | ---- | M] () [Auto | Running] -- C:\Programme (x86)\MegaRAID Storage Manager\MegaMonitor\mrmonitor.exe -- (MegaMonitorSrv)
SRV - [2010.01.14 14:01:34 | 000,072,760 | ---- | M] () [Auto | Running] -- C:\Programme (x86)\MegaRAID Storage Manager\Framework\VivaldiFramework.exe -- (MSMFramework)
SRV - [2009.05.22 17:15:14 | 001,991,080 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\tmlisten.exe -- (tmlisten)
SRV - [2009.05.22 17:12:44 | 001,739,568 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\ntrtscan.exe -- (ntrtscan)
SRV - [2009.03.12 06:41:18 | 000,569,608 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme (x86)\Trend Micro\BM\TMBMSRV.exe -- (TMBMServer)
SRV - [2009.03.10 21:06:38 | 000,594,912 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\TmPfw.exe -- (TmPfw)
SRV - [2009.03.10 21:04:32 | 000,913,672 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\TmProxy.exe -- (TmProxy)
SRV - [2008.11.25 11:45:34 | 039,626,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\SYSMSI\SSEE\MSSQL.2005\MSSQL\Binn\sqlservr.exe -- (MSSQL$MICROSOFT##SSEE) Windows Internal Database (MICROSOFT##SSEE)
SRV - [2008.07.25 12:17:02 | 000,069,632 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2007.02.18 06:00:00 | 000,793,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\SysWOW64\ntfrs.exe -- (NtFrs)
SRV - [2007.02.18 06:00:00 | 000,216,576 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\SysWOW64\inetsrv\iisw3adm.dll -- (W3SVC)
SRV - [2007.02.18 06:00:00 | 000,164,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\SysWOW64\dfssvc.exe -- (Dfs) Verteiltes Dateisystem (DFS)
SRV - [2007.02.18 06:00:00 | 000,094,720 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\SysWOW64\llssrv.exe -- (LicenseService)
SRV - [2007.02.18 06:00:00 | 000,077,312 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\pchsvc.dll -- (helpsvc)
SRV - [2007.02.18 06:00:00 | 000,067,072 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\SysWOW64\rsopprov.exe -- (RSoPProv)
SRV - [2007.02.18 06:00:00 | 000,050,688 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\SysWOW64\trksvr.dll -- (TrkSvr) Überwachung verteilter Verknüpfungen (Server)
SRV - [2007.02.18 06:00:00 | 000,040,448 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\SysWOW64\ismserv.exe -- (IsmServ)
SRV - [2007.02.18 06:00:00 | 000,039,424 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\SysWOW64\wdfmgr.exe -- (UMWdf)
SRV - [2007.02.18 06:00:00 | 000,021,504 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\SysWOW64\tcpsvcs.exe -- (SimpTcp)
SRV - [2007.02.18 06:00:00 | 000,021,504 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\SysWOW64\tcpsvcs.exe -- (LPDSVC)
SRV - [2007.01.11 05:02:00 | 000,126,464 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RPB.EXE -- (EPSON_PM_RPCV4_01) EPSON V3 Service4(01)
SRV - [2005.09.19 18:19:43 | 000,076,288 | ---- | M] () [Auto | Running] -- C:\Programme (x86)\Remote Task Manager\rtmservice.exe -- (RTM)
SRV - [2004.10.22 04:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme (x86)\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.10.07 05:30:00 | 000,057,344 | ---- | M] (IBM Corporation) [On_Demand | Stopped] -- C:\WINDOWS\cwbrxd.exe -- (Cwbrxd)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.05.31 12:31:10 | 000,015,928 | ---- | M] (LogMeIn, Inc.) [Kernel | Auto | Running] -- C:\Programme (x86)\LogMeIn\x64\rainfo.sys -- (LMIInfo)
DRV - [2009.12.04 17:40:30 | 000,265,744 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\TmXPFlt.sys -- (TmFilter)
DRV - [2009.12.04 17:39:44 | 000,042,000 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\tmpreflt.sys -- (TmPreFilter)
DRV - [2009.12.04 17:30:22 | 002,007,056 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme (x86)\Trend Micro\Client Server Security Agent\vsapiNT.sys -- (VSApiNt)
DRV - [2007.02.18 06:00:00 | 000,033,792 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\SysWow64\mnmdd.dll -- (mnmdd)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = https://dcs.renault.com
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = https://dcs.renault.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 172.17.174.137;ah-listle.local;https://srv2008.ah-listle.local:4343;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 172.17.174.134:8081
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Programme (x86)\Mozilla Firefox\components [2011.03.28 08:01:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Programme (x86)\Mozilla Firefox\plugins [2011.03.24 10:36:10 | 000,000,000 | ---D | M]
 
[2011.02.03 18:51:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla\Extensions
[2010.12.03 14:59:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2011.02.03 18:51:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla\Extensions\ideskbrowser@haufe.de
[2011.03.02 15:04:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla\Firefox\Profiles\ccprj50r.default\extensions
[2011.03.01 12:30:22 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla\Firefox\Profiles\ccprj50r.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.06.24 07:57:21 | 000,000,000 | ---D | M] (No name found) -- C:\Programme (x86)\Mozilla Firefox\extensions
[2010.12.23 12:48:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
File not found (No name found) -- C:\PROGRAMME (X86)\HAUFE\IDESK\IDESKBROWSER\EXTENSIONS\{C24AECC7-7C95-507F-D71F-155CB86656DF}
[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme (x86)\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Programme (x86)\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Programme (x86)\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Programme (x86)\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Programme (x86)\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Programme (x86)\Mozilla Firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O3:64bit: - HKCU\..\Toolbar\ShellBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} -  File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} -  File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} -  File not found
O4:64bit: - HKLM..\Run: [eTMonitor] C:\Programme\Aladdin\eToken\PKIClient\x64\PKIMonitor.exe (Aladdin Knowledge Systems, Ltd.)
O4:64bit: - HKLM..\Run: [Office ScanNT Monitor]  File not found
O4 - HKLM..\Run: [Client Access Check Version] C:\Programme (x86)\IBM\Client Access\cwbckver.exe (IBM Corporation)
O4 - HKLM..\Run: [Client Access Express Welcome] C:\Programme (x86)\IBM\Client Access\cwbwlwiz.exe (IBM Corporation)
O4 - HKLM..\Run: [Client Access Help Update] C:\Programme (x86)\IBM\Client Access\cwbinhlp.exe (IBM Corporation)
O4 - HKLM..\Run: [Client Access PC5250 Sound] C:\Programme (x86)\IBM\Client Access\Emulator\pcssnd.exe (IBM Corporation)
O4 - HKLM..\Run: [Client Access Service] C:\Programme (x86)\IBM\Client Access\cwbsvstr.exe (IBM Corporation)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme (x86)\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Office ScanNT Monitor] C:\Programme (x86)\Trend Micro\Client Server Security Agent\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme (x86)\Trend Micro\Client Server Security Agent\pccntmon.exe (Trend Micro Inc.)
O4 - HKCU..\Run: [\\SRV2008\A-D-TLD-29]  File not found
O4 - HKCU..\Run: [\\SRV2008\A-D-WKS-95]  File not found
O4 - HKCU..\Run: [A-D-WKS-95]  File not found
O4 - HKCU..\Run: [TomTomHOME.exe]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme (x86)\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme (x86)\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe (Panasonic Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunStartupScriptSync = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000001 [] -  File not found
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000002 [] -  File not found
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000003 [] -  File not found
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O15 - HKCU\..Trusted Domains: ah-listle ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: ah-listle.local ([srv2008] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: localhost ([]* in Vertrauenswürdige Sites)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://172.17.174.137:4343/officescan/console/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class)
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} https://172.17.174.137:4343/officescan/console/ClientInstall/setupini.cab (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://172.17.174.137:4343/officescan/console/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment SetupCtrl Class)
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} hxxp://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1309276527522 (MUCatalogWebControl Class)
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} https://172.17.174.137:4343/officescan/console/ClientInstall/RemoveCtrl.cab (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1290533023375 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1290590740437 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC44} https://172.17.174.137:4343/SMB/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBEDCC} https://172.17.174.137:4343/SMB/console/html/root/AtxConsole.cab (Security Server Management-Konsole)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} https://secure.logmein.com/activex/ractrl.cab?lmi=100 (Performance Viewer Activex Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ah-listle.local
O18:64bit: - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -  File not found
O18:64bit: - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} -  File not found
O18:64bit: - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\haufereader - No CLSID value found
O18:64bit: - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} -  File not found
O18:64bit: - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -  File not found
O18:64bit: - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} -  File not found
O18:64bit: - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} -  File not found
O18:64bit: - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} -  File not found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} -  File not found
O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} -  File not found
O18:64bit: - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} -  File not found
O18:64bit: - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -  File not found
O18:64bit: - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} -  File not found
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme (x86)\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} -  File not found
O18:64bit: - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} -  File not found
O18:64bit: - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} -  File not found
O18:64bit: - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} -  File not found
O18:64bit: - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} -  File not found
O18:64bit: - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} -  File not found
O18:64bit: - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} -  File not found
O18:64bit: - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} -  File not found
O18:64bit: - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - Reg Error: Key error. File not found
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme (x86)\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -  File not found
O20:64bit: - HKLM Winlogon: UIHost - (%SystemRoot%\system32\logonui.exe) -  File not found
O20:64bit: - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: System - (lsass.exe) -  File not found
O20:64bit: - Winlogon\Notify\crypt32chain: DllName - crypt32.dll -  File not found
O20:64bit: - Winlogon\Notify\cryptnet: DllName - cryptnet.dll -  File not found
O20:64bit: - Winlogon\Notify\cscdll: DllName - cscdll.dll -  File not found
O20:64bit: - Winlogon\Notify\dimsntfy: DllName - dimsntfy.dll -  File not found
O20:64bit: - Winlogon\Notify\LMIinit: DllName - Reg Error: Key error. -  File not found
O20:64bit: - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll -  File not found
O20:64bit: - Winlogon\Notify\ScCertProp  : DllName - Reg Error: Key error. - Reg Error: Value error. File not found
O20:64bit: - Winlogon\Notify\Schedule: DllName - wlnotify.dll -  File not found
O20:64bit: - Winlogon\Notify\sclgntfy: DllName - sclgntfy.dll -  File not found
O20:64bit: - Winlogon\Notify\SensLogn: DllName - WlNotify.dll -  File not found
O20:64bit: - Winlogon\Notify\termsrv: DllName - Reg Error: Key error. -  File not found
O20:64bit: - Winlogon\Notify\wlballoon: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll -  File not found
O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll -  File not found
O21:64bit: - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} -  File not found
O21:64bit: - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} -  File not found
O21:64bit: - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  File not found
O22:64bit: - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader -  File not found
O22:64bit: - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon -  File not found
O28:64bit: - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.23 18:48:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004.12.20 13:17:32 | 000,000,706 | ---- | M] () - K:\AUTOEXEC.xx -- [ NTFS ]
O33 - MountPoints2\##TSCLIENT#D\Shell - "" = AutoRun
O33 - MountPoints2\##TSCLIENT#D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\##TSCLIENT#D\Shell\AutoRun\command - "" = H:\autoplay.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: TrkSvr - C:\WINDOWS\SysWOW64\trksvr.dll (Microsoft Corporation)
 
MsConfig:64bit - StartUpReg: CTFMON.EXE - hkey= - key= -  File not found
MsConfig:64bit - StartUpReg: LogMeIn GUI - hkey= - key= - C:\Programme (x86)\LogMeIn\x64\LogMeInSystray.exe (LogMeIn, Inc.)
MsConfig:64bit - StartUpReg: Popup - hkey= - key= - C:\Programme (x86)\MegaRAID Storage Manager\MegaPopup\Popup.exe (LSI)
MsConfig:64bit - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme (x86)\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig:64bit - State: "startup" - Reg Error: Key error.
 
SafeBootMin:64bit: Base - Driver Group
SafeBootMin:64bit: Boot Bus Extender - Driver Group
SafeBootMin:64bit: Boot file system - Driver Group
SafeBootMin:64bit: File system - Driver Group
SafeBootMin:64bit: Filter - Driver Group
SafeBootMin:64bit: PCI Configuration - Driver Group
SafeBootMin:64bit: PNP Filter - Driver Group
SafeBootMin:64bit: Primary disk - Driver Group
SafeBootMin:64bit: SCSI Class - Driver Group
SafeBootMin:64bit: sermouse.sys - Driver
SafeBootMin:64bit: System Bus Extender - Driver Group
SafeBootMin:64bit: wd.sys - Driver
SafeBootMin:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\pchsvc.dll (Microsoft Corporation)
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: wd.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet:64bit: Base - Driver Group
SafeBootNet:64bit: Boot Bus Extender - Driver Group
SafeBootNet:64bit: Boot file system - Driver Group
SafeBootNet:64bit: File system - Driver Group
SafeBootNet:64bit: Filter - Driver Group
SafeBootNet:64bit: NDIS Wrapper - Driver Group
SafeBootNet:64bit: NetBIOSGroup - Driver Group
SafeBootNet:64bit: NetDDEGroup - Driver Group
SafeBootNet:64bit: Network - Driver Group
SafeBootNet:64bit: NetworkProvider - Driver Group
SafeBootNet:64bit: PCI Configuration - Driver Group
SafeBootNet:64bit: PNP Filter - Driver Group
SafeBootNet:64bit: PNP_TDI - Driver Group
SafeBootNet:64bit: Primary disk - Driver Group
SafeBootNet:64bit: SCSI Class - Driver Group
SafeBootNet:64bit: sermouse.sys - Driver
SafeBootNet:64bit: Streams Drivers - Driver Group
SafeBootNet:64bit: System Bus Extender - Driver Group
SafeBootNet:64bit: TDI - Driver Group
SafeBootNet:64bit: UploadMgr - Service
SafeBootNet:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet:64bit: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet:64bit: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet:64bit: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet:64bit: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\pchsvc.dll (Microsoft Corporation)
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: UploadMgr - Service
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX:64bit: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - 
ActiveX:64bit: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX:64bit: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {A509B1A7-37EF-4b3f-8CFC-4F3A74704073} - %SystemRoot%\system32\rundll32.exe iesetup.dll,IEHardenAdmin
ActiveX:64bit: {A509B1A8-37EF-4b3f-8CFC-4F3A74704073} - %SystemRoot%\system32\rundll32.exe iesetup.dll,IEHardenUser
ActiveX:64bit: {abcdf74f-9a64-4e6e-b8eb-6e5a41de6550} - Hilfe- und Supportcenter
ActiveX:64bit: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX:64bit: {B6EC01E7-431D-4D29-B9D4-E1D74CAF0AB0} - .NET Framework
ActiveX:64bit: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX:64bit: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX:64bit: {D7D4180C-5713-48CE-A93C-426B8E2B683B} - %SystemRoot%\SysWOW64\rundll32.exe iesetup.dll,IEHardenAdmin
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX:64bit: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\SysWOW64\Rundll32.exe C:\WINDOWS\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {A509B1A7-37EF-4b3f-8CFC-4F3A74704073} - %SystemRoot%\system32\rundll32.exe iesetup.dll,IEHardenAdmin
ActiveX: {A509B1A8-37EF-4b3f-8CFC-4F3A74704073} - %SystemRoot%\system32\rundll32.exe iesetup.dll,IEHardenUser
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {B6EC01E7-431D-4D29-B9D4-E1D74CAF0AB0} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - 
 
Drivers32:64bit: midimapper -  File not found
Drivers32:64bit: msacm.imaadpcm -  File not found
Drivers32:64bit: msacm.msadpcm -  File not found
Drivers32:64bit: msacm.msg711 -  File not found
Drivers32:64bit: msacm.msgsm610 -  File not found
Drivers32:64bit: msacm.trspch -  File not found
Drivers32:64bit: vidc.i420 -  File not found
Drivers32:64bit: vidc.iyuv -  File not found
Drivers32:64bit: vidc.mrle -  File not found
Drivers32:64bit: vidc.msvc -  File not found
Drivers32:64bit: vidc.uyvy -  File not found
Drivers32:64bit: vidc.yuy2 -  File not found
Drivers32:64bit: vidc.yvu9 -  File not found
Drivers32:64bit: vidc.yvyu -  File not found
Drivers32:64bit: wavemapper -  File not found
Drivers32: msacm.l3acm - C:\WINDOWS\SysWOW64\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\SysWow64\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\SysWow64\tssoft32.acm (DSP GROUP, INC.)
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.29 10:30:21 | 000,579,072 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\OTL.exe
[2011.06.28 17:38:53 | 000,000,000 | ---D | C] -- C:\Programme\Update Services
[2011.06.28 17:37:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\SYSMSI
[2011.06.28 16:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\osam_autorun_manager_5_0_portable
[2011.06.28 11:02:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\BitDefender Deployment Tool
[2011.06.28 09:57:48 | 007,734,619 | ---- | C] (F-Secure Corp.) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\f-downadup.exe
[2011.06.23 13:58:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel
[2011.06.08 19:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2011.06.08 18:45:16 | 000,000,000 | ---D | C] -- C:\Programme (x86)\MSXML 4.0
[2011.05.30 19:43:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Remote Task Manager
[2011.05.30 19:43:36 | 000,000,000 | ---D | C] -- C:\Programme (x86)\Remote Task Manager
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\SysWow64\*.tmp files -> C:\WINDOWS\SysWow64\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.29 10:30:31 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\OTL.exe
[2011.06.29 09:58:13 | 000,014,591 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2011.06.29 09:04:18 | 000,000,664 | ---- | M] () -- C:\WINDOWS\SysWow64\d3d9caps.dat
[2011.06.29 08:48:47 | 000,001,204 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Eigene Dateien\Default.rdp
[2011.06.29 05:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\Lear Auto Update.job
[2011.06.28 22:00:00 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\auto_update.job
[2011.06.28 19:41:13 | 000,000,031 | ---- | M] () -- C:\tmuninst.ini
[2011.06.28 19:40:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.06.28 19:36:12 | 000,001,450 | RHS- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\ntuser.pol
[2011.06.28 17:24:25 | 000,005,234 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.06.28 17:17:26 | 000,005,777 | ---- | M] () -- C:\WINDOWS\cfgspyrt.ini
[2011.06.28 17:17:25 | 000,006,641 | ---- | M] () -- C:\WINDOWS\cfgrt.ini
[2011.06.28 15:06:00 | 002,918,027 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\ccsetup308portable.zip
[2011.06.28 14:14:43 | 000,004,998 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsvsdncd.hix
[2011.06.28 11:44:41 | 002,348,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\D.exe
[2011.06.28 11:38:29 | 000,000,692 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\dialogysMPFuser.prf
[2011.06.28 09:58:24 | 000,026,624 | ---- | M] () -- C:\WINDOWS\SysWow64\drivers\fsbts.sys
[2011.06.28 09:57:50 | 007,734,619 | ---- | M] (F-Secure Corp.) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\f-downadup.exe
[2011.06.27 17:52:28 | 000,000,884 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\rci.reg
[2011.06.27 14:22:42 | 000,006,712 | ---- | M] () -- C:\WINDOWS\cfgps.ini
[2011.06.27 14:22:42 | 000,005,874 | ---- | M] () -- C:\WINDOWS\cfgspyps.ini
[2011.06.24 15:27:20 | 001,389,316 | ---- | M] () -- C:\WINDOWS\SysWow64\PerfStringBackup.INI
[2011.06.17 10:08:53 | 000,002,177 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\LEAR.lnk
[2011.06.08 20:26:46 | 000,008,206 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.06.08 20:22:40 | 000,001,839 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\IBM iSeries Access für Windows.lnk
[2011.06.08 20:17:11 | 000,000,799 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iSeries Navigator.lnk
[2011.06.06 19:40:24 | 000,000,122 | ---- | M] () -- C:\WINDOWS\verona.ini
[2011.05.30 19:43:50 | 000,000,700 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\Remote Task Manager.lnk
[2011.05.30 19:42:50 | 002,395,945 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\rtm.zip
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\SysWow64\*.tmp files -> C:\WINDOWS\SysWow64\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.06.28 17:17:26 | 000,005,777 | ---- | C] () -- C:\WINDOWS\cfgspyrt.ini
[2011.06.28 17:17:25 | 000,006,641 | ---- | C] () -- C:\WINDOWS\cfgrt.ini
[2011.06.28 15:05:49 | 002,918,027 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\ccsetup308portable.zip
[2011.06.28 14:14:43 | 000,004,998 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsvsdncd.hix
[2011.06.28 11:44:26 | 002,348,928 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\D.exe
[2011.06.28 09:58:24 | 000,026,624 | ---- | C] () -- C:\WINDOWS\SysWow64\drivers\fsbts.sys
[2011.06.27 17:50:55 | 000,000,884 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\rci.reg
[2011.06.27 14:21:14 | 000,005,874 | ---- | C] () -- C:\WINDOWS\cfgspyps.ini
[2011.06.27 14:21:13 | 000,006,712 | ---- | C] () -- C:\WINDOWS\cfgps.ini
[2011.06.08 20:22:40 | 000,001,839 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\IBM iSeries Access für Windows.lnk
[2011.06.08 20:17:11 | 000,000,799 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iSeries Navigator.lnk
[2011.05.30 19:43:50 | 000,000,700 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\Remote Task Manager.lnk
[2011.05.30 19:42:37 | 002,395,945 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Desktop\rtm.zip
[2011.03.01 13:36:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.03.01 13:14:15 | 000,000,664 | ---- | C] () -- C:\WINDOWS\SysWow64\d3d9caps.dat
[2011.02.15 19:27:24 | 000,014,591 | ---- | C] () -- C:\WINDOWS\cfgall.ini
[2011.02.03 19:49:18 | 000,000,122 | ---- | C] () -- C:\WINDOWS\verona.ini
[2011.01.17 20:47:18 | 000,000,453 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\OfficeScanWebDeployment.ini
[2010.12.28 12:57:59 | 000,040,448 | ---- | C] () -- C:\WINDOWS\SysWow64\REGOBJ.DLL
[2010.12.21 18:28:41 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Unknown Organization
[2010.12.02 13:42:06 | 000,111,932 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPrinterDB.dat
[2010.12.02 13:42:06 | 000,031,053 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern131.dat
[2010.12.02 13:42:06 | 000,027,417 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern121.dat
[2010.12.02 13:42:06 | 000,026,154 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern1.dat
[2010.12.02 13:42:06 | 000,024,903 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern3.dat
[2010.12.02 13:42:06 | 000,021,390 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern5.dat
[2010.12.02 13:42:06 | 000,020,148 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern2.dat
[2010.12.02 13:42:06 | 000,011,811 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern4.dat
[2010.12.02 13:42:06 | 000,004,943 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPattern6.dat
[2010.12.02 13:42:06 | 000,001,146 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_DU.dat
[2010.12.02 13:42:06 | 000,001,139 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_PT.dat
[2010.12.02 13:42:06 | 000,001,139 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_BP.dat
[2010.12.02 13:42:06 | 000,001,136 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_ES.dat
[2010.12.02 13:42:06 | 000,001,129 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_FR.dat
[2010.12.02 13:42:06 | 000,001,129 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_CF.dat
[2010.12.02 13:42:06 | 000,001,120 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_IT.dat
[2010.12.02 13:42:06 | 000,001,107 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_GE.dat
[2010.12.02 13:42:06 | 000,001,104 | ---- | C] () -- C:\WINDOWS\SysWow64\EPPICPresetData_EN.dat
[2010.12.02 13:42:06 | 000,000,097 | ---- | C] () -- C:\WINDOWS\SysWow64\PICSDK.ini
[2010.12.02 12:03:42 | 000,000,156 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.12.02 12:01:37 | 001,389,316 | ---- | C] () -- C:\WINDOWS\SysWow64\PerfStringBackup.INI
[2010.12.01 13:37:28 | 000,337,920 | ---- | C] () -- C:\WINDOWS\SysWow64\WTSManager.dll
[2010.11.25 18:42:19 | 000,000,251 | ---- | C] () -- C:\WINDOWS\SysWow64\drivers\hlldrvr.sys
[2010.11.25 18:42:05 | 000,020,533 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbunplp.exe
[2010.11.25 18:42:04 | 000,172,032 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbrw.dll
[2010.11.25 18:42:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbsv.dll
[2010.11.25 18:42:04 | 000,020,528 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbwiz.dll
[2010.11.25 18:42:04 | 000,020,480 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbsy.dll
[2010.11.25 18:42:04 | 000,020,480 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbnl.dll
[2010.11.25 18:42:04 | 000,020,480 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbco.dll
[2010.11.25 18:42:04 | 000,016,384 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbnldlg.dll
[2010.11.25 18:42:04 | 000,016,384 | ---- | C] () -- C:\WINDOWS\SysWow64\cwbad.dll
[2010.11.24 11:14:50 | 000,000,569 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.11.24 03:26:25 | 000,001,157 | ---- | C] () -- C:\WINDOWS\SysWow64\vwipxspx.exe
[2010.11.24 03:26:23 | 000,016,896 | ---- | C] () -- C:\WINDOWS\SysWow64\tsd32.dll
[2010.11.24 03:26:18 | 000,733,696 | ---- | C] () -- C:\WINDOWS\SysWow64\qedwipes.dll
[2010.11.24 03:26:11 | 000,114,688 | ---- | C] () -- C:\WINDOWS\SysWow64\msencode.dll
[2010.11.24 03:26:10 | 000,014,336 | ---- | C] () -- C:\WINDOWS\SysWow64\msdmo.dll
[2010.11.24 03:26:02 | 000,058,368 | ---- | C] () -- C:\WINDOWS\SysWow64\dvdplay.exe
[2010.11.24 03:25:58 | 000,355,112 | ---- | C] () -- C:\WINDOWS\SysWow64\msjetoledb40.dll
[2010.11.24 03:25:56 | 000,072,704 | ---- | C] () -- C:\WINDOWS\SysWow64\amstream.dll
[2010.11.24 03:25:56 | 000,012,610 | ---- | C] () -- C:\WINDOWS\SysWow64\append.exe
[2010.11.24 03:25:15 | 000,673,088 | ---- | C] () -- C:\WINDOWS\SysWow64\mlang.dat
[2010.11.24 03:23:34 | 000,046,907 | ---- | C] () -- C:\WINDOWS\mib.bin
[2010.11.23 18:52:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.11.23 18:48:24 | 000,080,471 | ---- | C] () -- C:\WINDOWS\SysWow64\w3ctrs.ini
[2010.11.23 18:48:20 | 000,017,728 | ---- | C] () -- C:\WINDOWS\SysWow64\infoctrs.ini
[2010.11.23 18:48:18 | 000,017,138 | ---- | C] () -- C:\WINDOWS\SysWow64\axperf.ini
[2010.11.23 18:36:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.01.25 13:58:06 | 000,462,848 | ---- | C] () -- C:\WINDOWS\SysWow64\ractrlkeyhook.dll
[2010.01.13 13:35:34 | 000,035,971 | ---- | C] () -- C:\WINDOWS\sas_mib.dat
[2010.01.11 16:24:20 | 000,073,728 | ---- | C] () -- C:\WINDOWS\SysWow64\AlertStrings.dll
[2009.10.05 19:53:04 | 000,146,544 | ---- | C] () -- C:\WINDOWS\SysWow64\pegslp_client.dll
[2009.10.05 19:53:04 | 000,089,200 | ---- | C] () -- C:\WINDOWS\SysWow64\pegexportserver.dll
[2009.10.05 19:53:04 | 000,068,712 | ---- | C] () -- C:\WINDOWS\SysWow64\peglistener.dll
[2009.10.05 19:53:02 | 002,034,792 | ---- | C] () -- C:\WINDOWS\SysWow64\pegcommon.dll
[2009.10.05 19:53:02 | 000,273,512 | ---- | C] () -- C:\WINDOWS\SysWow64\pegclient.dll
[2009.10.05 19:53:02 | 000,097,392 | ---- | C] () -- C:\WINDOWS\SysWow64\pegauthentication.dll
[2009.01.20 11:36:12 | 000,034,944 | ---- | C] () -- C:\WINDOWS\sas_ir_mib.dat
[2008.11.26 11:06:36 | 000,000,102 | ---- | C] () -- C:\WINDOWS\LSI_StorSNMP.ini
[2004.08.01 02:01:46 | 000,315,392 | ---- | C] () -- C:\WINDOWS\SysWow64\VLMenuRes.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\SysWow64\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011.06.28 11:19:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\BitDefender Deployment Tool
[2011.02.15 18:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\cebacus
[2011.04.19 22:02:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\CPL
[2010.12.18 09:22:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\DameWare Development
[2011.06.29 10:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\DWRCC
[2011.03.09 19:15:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Gutscheinmieze
[2011.06.07 15:43:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Haufe
[2011.02.03 18:51:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Haufe Mediengruppe
[2011.02.22 10:47:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\LockHunter
[2010.12.21 18:28:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\MOBOTIX AG
[2011.01.05 19:03:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\NetDrive
[2011.01.28 18:30:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Panasonic
[2011.03.04 11:51:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\TeamViewer
[2010.12.03 14:59:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\TomTom
[2010.11.25 15:05:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Windows Small Business Server
[2011.03.03 17:29:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery
[2011.01.07 14:49:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011.06.28 18:16:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2010.12.22 16:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2011.06.28 18:42:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogMeIn
[2011.03.02 14:38:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netgear
[2010.12.21 10:27:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Okidata
[2011.01.25 17:49:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPPU
[2011.02.28 18:48:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBS-Software
[2011.06.28 22:00:00 | 000,000,302 | ---- | M] () -- C:\WINDOWS\Tasks\auto_update.job
[2011.06.29 05:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\Lear Auto Update.job
[2011.06.28 19:37:14 | 000,032,564 | ---- | M] () -- C:\WINDOWS\Tasks\SchedLgU.Txt
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.03.02 14:38:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Adobe
[2011.02.15 19:08:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\AdobeUM
[2011.06.28 11:19:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\BitDefender Deployment Tool
[2011.02.15 18:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\cebacus
[2011.04.19 22:02:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\CPL
[2010.12.18 09:22:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\DameWare Development
[2011.06.29 10:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\DWRCC
[2011.03.09 19:15:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Gutscheinmieze
[2011.06.07 15:43:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Haufe
[2011.02.03 18:51:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Haufe Mediengruppe
[2010.12.01 13:14:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Help
[2010.11.25 15:05:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Identities
[2011.01.28 17:11:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\InstallShield
[2011.02.22 10:47:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\LockHunter
[2010.11.26 18:54:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Macromedia
[2011.04.15 11:35:41 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Microsoft
[2010.12.21 18:28:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\MOBOTIX AG
[2010.12.23 11:15:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Mozilla
[2011.01.05 19:03:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\NetDrive
[2011.01.28 18:30:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Panasonic
[2010.12.22 16:55:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Sun
[2011.03.04 11:51:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\TeamViewer
[2010.12.03 14:59:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\TomTom
[2011.03.04 11:29:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\vlc
[2010.11.25 15:05:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Windows Small Business Server
[2011.01.05 17:45:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\WinRAR
 
< %APPDATA%\*.exe /s >
[2011.04.19 22:01:14 | 001,915,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\CPL\CPL-FERNWARTUNG.EXE
[2011.03.28 11:51:20 | 016,277,504 | ---- | M] (CPL GmbH) -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\CPL\CPL-KalkulationRD.exe
[2011.02.28 18:43:36 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.AH-LISTLE\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: IASTOR.SYS  >
[2010.03.09 17:29:34 | 000,407,064 | ---- | M] (Intel Corporation) MD5=8EACF469269FB1509561961A3188F670 -- C:\drv\intc_dd_adpahci\IaStor.sys
 
< MD5 for: NETLOGON.DLL  >
[2010.12.29 11:18:24 | 000,432,128 | ---- | M] (Microsoft Corporation) MD5=12E288334D57E58957E751B4AABD2256 -- C:\WINDOWS\SysWOW64\netlogon.dll
[2007.02.18 06:00:00 | 000,682,496 | ---- | M] (Microsoft Corporation) MD5=53A7508D3B7AD3BAF4BA57DFF64E4E9F -- C:\WINDOWS\$NtUninstallKB2478953$\netlogon.dll
[2010.12.29 11:14:44 | 000,692,224 | ---- | M] (Microsoft Corporation) MD5=638C9C4F3E26FE4CD53A13E03B235EF4 -- C:\WINDOWS\$hf_mig$\KB2478953\SP2QFE\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2007.02.18 06:00:00 | 000,197,120 | ---- | M] (Microsoft Corporation) MD5=4DCF52606A1C2BD54EECD5601E85E140 -- C:\WINDOWS\SysWOW64\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007.03.02 02:54:46 | 000,604,672 | ---- | M] (Microsoft Corporation) MD5=859DE7E8CC7D2E182499258450C4BA92 -- C:\WINDOWS\SysWOW64\user32.dll
[2007.03.02 01:56:24 | 001,089,024 | ---- | M] (Microsoft Corporation) MD5=DC5761DD3D33FFDC1BCC6FC4BD75BEFC -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2010.01.14 14:00:32 | 000,580,664 | ---- | M] (Microsoft Corporation) MD5=F892B22153F9A50D6C964052D053B0E1 -- C:\Programme (x86)\MegaRAID Storage Manager\Framework\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2007.02.18 06:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=6B864349448336D9660B9E2B47B8AEAE -- C:\WINDOWS\SysWOW64\userinit.exe
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
<           >

< End of report >

cosinus · 29.06.2011, 10:43

Zitat:

R:\ ( Netzlaufwerk) AutoRun.inf TROJ_AUTORUN.BNA

Hmja, autorun wurde auch nicht abgedreht

R: ist ein Netzlaufwerk, das auf welche Resource zeigt?
Mach bitte den Vollscan mit Malwarebytes.

mabikus · 29.06.2011, 10:47

Zitat:

Zitat von cosinus

R: ist ein Netzlaufwerk, das auf welche Resource zeigt?

Auf eine IBM i5 ! (as400)

Was meinst du mit nicht abgedreht??

scan läuft ;-)

cosinus · 29.06.2011, 10:48

Zitat:

Was meinst du mit nicht abgedreht??

Du kennst autorun nicht??

oder reden wir gerade aneinander vorbei?

mabikus · 29.06.2011, 10:51

Zitat:

Zitat von cosinus

vorbei?

JA :-)

Habs gerade nochmal gelesen... du meinst das autorun nicht deaktiviert ist sondern aktiviert

cosinus · 29.06.2011, 10:54

Ja, das erste was ich auf Windows-Rechnern mache ist diesen Mist zu deaktivieren, siehst ja was sonst bei rauskommen kann. Autorun ist eine riskante unnötige Spielerei, die Faulheit von lernunwilligen mE nach unterstützt. Warum muss irgendein Programm gleich gestartet werden, nur weil man einen Datenträger eingelegt hat? Steckst du einen Datenträger mit Autorun-Schädling ein, wird der Schädling automatisch gestartet

mabikus · 29.06.2011, 10:57

also ich hab es jetzt unter
gpedit -> computerconfig > sytem > "autoplay deaktivieren" aktiviert....

ist das alles anders kenn ich es nämlich nicht??

cosinus · 29.06.2011, 11:36

Ja aber für alle Laufwerke. Und das sollte auch auf jeden Rechner so sein. Dafür gibt es dann Gruppenrichtlinien, aber das ist ein anderes Thema.

Wie weit ist Malwarebytes denn?

mabikus · 29.06.2011, 11:46

der braucht noch...Mir ist gerade aufgefallen das wir Unmengen an temporary internet files auf dem Server haben von jedem benutzer. die scannt er noch. gebe sofort bescheid.

ja hab es jetzt auch in der Gruppenrichtlinie eingetragen!!

cosinus · 29.06.2011, 11:50

Gut. teste ob der Autorun/Autoplay auch wirklich deaktiviert ist. Ist ziemlich doof, wenn man anfängt System zu reinigen und dann automatisch durch Autorun/Autoplay die gleichen Infektionen wieder reinkommen

29.06.2011, 11:36	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk Ja aber für alle Laufwerke. Und das sollte auch auf jeden Rechner so sein. Dafür gibt es dann Gruppenrichtlinien, aber das ist ein anderes Thema. Wie weit ist Malwarebytes denn? __________________ Logfiles bitte immer in CODE-Tags posten

29.06.2011, 11:50	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk Gut. teste ob der Autorun/Autoplay auch wirklich deaktiviert ist. Ist ziemlich doof, wenn man anfängt System zu reinigen und dann automatisch durch Autorun/Autoplay die gleichen Infektionen wieder reinkommen __________________ Logfiles bitte immer in CODE-Tags posten

MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk

Plagegeister aller Art und deren Bekämpfung: MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk