| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Joke/Rjump und Java Agent.M.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.07.2011, 12:59
| #1 | |
 |  Joke/Rjump und Java Agent.M.1 Hallo! eine Freundin von mir hatte einen bösen Trojaner auf dem Rechner-daher habe ich nachgeschaut, ob meiner auch verseucht ist. Avira DE Cleaner fand die beiden im Betreff genannten Sachen. Kann mir jemand sagen, ob diese gefährlich sind? Und wie ich diese losbekomme? Ich habe nach Anleitung alle Sachen runtergeladen und Logs gemacht, ich hoffe, alles ist richtig. Hier erstmal defogger: Zitat:
OTL Logfile: Code:
ATTFilter OTL logfile created on: 08.07.2011 01:22:47 - Run 1 OTL by OldTimer - Version 3.2.26.1 Folder = C:\Dokumente und Einstellungen\Kekse\Desktop Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,48 Mb Total Physical Memory | 613,77 Mb Available Physical Memory | 59,97% Memory free 2,40 Gb Paging File | 2,10 Gb Available in Paging File | 87,21% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 71,53 Gb Total Space | 40,82 Gb Free Space | 57,07% Space Free | Partition Type: NTFS Drive D: | 67,75 Gb Total Space | 58,75 Gb Free Space | 86,71% Space Free | Partition Type: NTFS Drive E: | 9,76 Gb Total Space | 9,76 Gb Free Space | 99,99% Space Free | Partition Type: FAT32 Computer Name: DANI | User Name: Kekse | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.07.07 23:53:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kekse\Desktop\OTL.exe PRC - [2011.07.07 23:17:21 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.30 15:51:48 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.13 14:51:57 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.06.16 23:15:06 | 000,250,416 | ---- | M] () -- C:\Programme\Hotspot Shield\bin\openvpnas.exe PRC - [2010.06.16 22:33:44 | 000,322,608 | ---- | M] () -- C:\Programme\Hotspot Shield\bin\hsswd.exe PRC - [2010.06.16 22:33:42 | 000,348,208 | ---- | M] (AnchorFree Inc.) -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe PRC - [2010.01.14 23:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2011.07.07 23:53:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kekse\Desktop\OTL.exe MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - [2011.07.07 23:17:21 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.30 15:51:48 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.06.23 13:52:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2010.06.16 23:16:06 | 000,057,640 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Hotspot Shield\bin\HssTrayService.exe -- (HssTrayService) SRV - [2010.06.16 23:15:06 | 000,250,416 | ---- | M] () [Auto | Running] -- C:\Programme\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService) SRV - [2010.06.16 22:33:44 | 000,322,608 | ---- | M] () [Auto | Running] -- C:\Programme\Hotspot Shield\bin\hsswd.exe -- (HssWd) SRV - [2010.06.16 22:33:42 | 000,348,208 | ---- | M] (AnchorFree Inc.) [Auto | Running] -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv) SRV - [2010.03.29 08:53:22 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R) ========== Driver Services (SafeList) ========== DRV - [2011.07.07 23:17:22 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.07 23:17:22 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.16 22:33:42 | 000,037,376 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HssDrv.sys -- (HssDrv) DRV - [2010.06.16 22:33:40 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\taphss.sys -- (taphss) DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2009.05.11 11:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2005.05.12 15:39:56 | 001,287,296 | ---- | M] (C-Media Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudax.sys -- (cmudax) DRV - [2005.05.09 20:08:40 | 000,033,792 | ---- | M] (Team H2O) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cledx.sys -- (CLEDX) DRV - [2004.03.17 17:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) DRV - [2000.07.24 01:01:00 | 000,019,537 | ---- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\BrPar.sys -- (BrPar) DRV - [1999.09.10 13:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (ASPI32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.23 21:45:53 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.29 16:12:11 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.11\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.06.22 13:13:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.11\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.06.29 16:12:11 | 000,000,000 | ---D | M] [2010.03.21 22:34:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Mozilla\Extensions [2010.03.21 17:33:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011.07.07 16:19:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Mozilla\Firefox\Profiles\baptwamx.default\extensions [2010.09.29 17:00:10 | 000,000,000 | ---D | M] ("Fangs") -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Mozilla\Firefox\Profiles\baptwamx.default\extensions\{21D01944-2878-4eb3-A72A-83E8D1E6D4A6} [2011.03.26 21:19:11 | 000,000,000 | ---D | M] (ColorZilla) -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Mozilla\Firefox\Profiles\baptwamx.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326} [2011.03.26 19:23:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.06.23 21:45:51 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010.03.08 12:24:04 | 000,103,168 | ---- | M] (Midasplayer Ltd) -- C:\Programme\mozilla firefox\plugins\npmidas.dll [2009.10.26 17:45:36 | 000,102,400 | ---- | M] (Zylom) -- C:\Programme\mozilla firefox\plugins\npzylomgamesplayer.dll [2011.03.26 21:18:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.03.26 21:18:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.03.26 21:18:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.03.26 21:18:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.03.26 21:18:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.03.26 21:18:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.10 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll (AnchorFree Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Cmaudio] File not found O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - Startup: C:\Dokumente und Einstellungen\Kekse\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Kekse\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Kekse\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.03.21 04:28:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell - "" = AutoRun O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun\command - "" = G:\AutoRun.exe O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell - "" = AutoRun O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun\command - "" = G:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {29E7D24F-BF30-45E7-8A40-AD27AFD8F5C6} - Microsoft .NET Framework 1.0 Hotfix (KB979904) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E8EA5BD6-D931-4001-ABF6-81BAA500360A} - Microsoft .NET Framework 1.0 Hotfix (KB953295) ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {EA29D410-CE41-4953-A862-2DE706A1DAD7} - Microsoft .NET Framework 1.0 Service Pack 3 ActiveX: {FDC11A6F-17D1-48f9-9EA3-9051954BAA24} - .NET Framework ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Kekse^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe - () MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: CleanUp XP - hkey= - key= - File not found MsConfig - StartUpReg: ICQ - hkey= - key= - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) MsConfig - StartUpReg: msnmsgr - hkey= - key= - C:\Programme\Windows Live\Messenger\msnmsgr.exe (Microsoft Corporation) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.07.07 23:53:01 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kekse\Desktop\OTL.exe [2011.07.07 23:31:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2011.06.27 00:23:33 | 000,000,000 | ---D | C] -- C:\Programme\AC3Filter [2011.06.27 00:23:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AC3Filter [2011.06.23 16:42:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kekse\Desktop\Tintenmusik [2011.06.16 01:38:10 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.06.09 21:10:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Kekse\Desktop\Dropbox [2011.06.09 21:07:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kekse\Startmenü\Programme\Dropbox [2011.06.09 21:07:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Dropbox [2011.06.09 21:06:32 | 016,208,688 | ---- | C] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Kekse\Desktop\Dropbox 1.1.35.exe [2010.04.09 09:10:26 | 023,510,016 | ---- | C] (Yellow Tools) -- C:\Programme\Independence Free.dll [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.07.08 01:22:06 | 000,000,505 | ---- | M] () -- C:\WINDOWS\System\Cmicnfg.ini [2011.07.08 01:19:25 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\defogger_reenable [2011.07.08 01:18:11 | 000,021,733 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\To-Do.odt [2011.07.07 23:53:28 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\irs92xyd.exe [2011.07.07 23:53:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kekse\Desktop\OTL.exe [2011.07.07 23:52:34 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Defogger.exe [2011.07.07 23:30:22 | 000,001,885 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Entfernen des Avira DE-Cleaners.lnk [2011.07.07 23:30:22 | 000,001,814 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Avira DE-Cleaner.lnk [2011.07.07 23:30:19 | 000,883,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Avira-DE-Cleaner.exe [2011.07.07 23:29:10 | 000,287,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\SoftonicDownloader_fuer_avira-de-cleaner.exe [2011.07.07 23:21:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.07.07 23:21:43 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys [2011.07.07 23:17:22 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.07.07 23:17:22 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2011.07.07 15:51:37 | 000,013,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\hundsana.jpg [2011.07.07 02:06:18 | 000,066,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\nochmasüß.jpg [2011.07.07 01:58:10 | 000,086,075 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\inshallamann.jpg [2011.07.04 00:35:30 | 000,122,569 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\haustierchen.gif [2011.07.02 16:12:15 | 003,809,917 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\smilies und avatare.zip [2011.07.01 04:24:01 | 000,002,441 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\av_comic0156.gif [2011.06.29 16:12:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2011.06.27 19:36:09 | 000,009,534 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\sitzsack.jpg [2011.06.27 18:32:09 | 000,000,882 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\.recently-used.xbel [2011.06.27 12:28:58 | 000,000,367 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\index.html [2011.06.26 01:19:01 | 000,003,818 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\myorder.mht [2011.06.24 13:54:02 | 000,138,202 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\getätigte Überweisung.JPG [2011.06.23 20:47:00 | 001,412,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Spice Girls-Wannabe.mp3 [2011.06.23 19:52:22 | 001,909,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Magic Affair-omen.mp3 [2011.06.23 19:14:33 | 001,842,734 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Marky Mark-happy people.mp3 [2011.06.23 19:03:12 | 002,185,286 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\CoronaBecause The Night Belongs To Lovers.mp3 [2011.06.23 18:53:04 | 001,672,914 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Culture Beat -Mr Vain.mp3 [2011.06.23 18:38:30 | 002,171,493 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Haddaway-What Is Love.mp3 [2011.06.22 02:39:03 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.06.16 01:39:34 | 000,450,272 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.06.16 01:39:34 | 000,434,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.06.16 01:39:34 | 000,080,744 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.06.16 01:39:34 | 000,068,042 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.06.16 01:33:11 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.06.12 16:50:31 | 000,014,524 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\plan süsskramdealer.odt [2011.06.12 02:24:42 | 000,163,474 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Apariv-Lüge.JPG [2011.06.09 21:10:02 | 000,001,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Dropbox.lnk [2011.06.09 21:07:52 | 000,001,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Kekse\Startmenü\Programme\Autostart\Dropbox.lnk [2011.06.09 21:06:47 | 016,208,688 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Kekse\Desktop\Dropbox 1.1.35.exe [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.07.08 01:19:25 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\defogger_reenable [2011.07.07 23:53:28 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\irs92xyd.exe [2011.07.07 23:52:34 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Defogger.exe [2011.07.07 23:30:22 | 000,001,885 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Entfernen des Avira DE-Cleaners.lnk [2011.07.07 23:30:22 | 000,001,814 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Avira DE-Cleaner.lnk [2011.07.07 23:30:18 | 000,883,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Avira-DE-Cleaner.exe [2011.07.07 23:29:09 | 000,287,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\SoftonicDownloader_fuer_avira-de-cleaner.exe [2011.07.07 15:51:36 | 000,013,802 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\hundsana.jpg [2011.07.07 02:06:18 | 000,066,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\nochmasüß.jpg [2011.07.07 01:58:10 | 000,086,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\inshallamann.jpg [2011.07.04 00:35:28 | 000,122,569 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\haustierchen.gif [2011.07.02 16:12:12 | 003,809,917 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\smilies und avatare.zip [2011.07.01 04:24:01 | 000,002,441 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\av_comic0156.gif [2011.06.27 19:29:21 | 000,009,534 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\sitzsack.jpg [2011.06.27 18:32:09 | 000,000,882 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\.recently-used.xbel [2011.06.27 12:28:58 | 000,000,367 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\index.html [2011.06.26 01:19:01 | 000,003,818 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\myorder.mht [2011.06.24 13:54:02 | 000,138,202 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\getätigte Überweisung.JPG [2011.06.23 19:14:33 | 001,842,734 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Marky Mark-happy people.mp3 [2011.06.23 19:10:38 | 001,909,687 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Magic Affair-omen.mp3 [2011.06.23 19:03:12 | 002,185,286 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\CoronaBecause The Night Belongs To Lovers.mp3 [2011.06.23 18:53:04 | 001,672,914 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Culture Beat -Mr Vain.mp3 [2011.06.23 18:38:30 | 002,171,493 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Haddaway-What Is Love.mp3 [2011.06.23 18:19:37 | 001,412,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Spice Girls-Wannabe.mp3 [2011.06.23 03:50:46 | 000,021,733 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\To-Do.odt [2011.06.12 02:24:41 | 000,163,474 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Eigene Dateien\Apariv-Lüge.JPG [2011.06.09 21:10:02 | 000,001,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\Dropbox.lnk [2011.06.09 21:07:52 | 000,001,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Startmenü\Programme\Autostart\Dropbox.lnk [2011.06.09 14:37:51 | 000,014,524 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Desktop\plan süsskramdealer.odt [2011.04.28 18:50:16 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL [2011.04.28 18:50:14 | 000,015,108 | ---- | C] () -- C:\WINDOWS\HL-5140.INI [2011.04.28 18:47:06 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BO5140.INI [2011.04.28 18:36:13 | 000,000,313 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI [2011.04.28 18:36:13 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2011.04.28 18:36:13 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2011.04.28 18:36:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\bw5140.ini [2011.04.28 18:36:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2011.04.28 18:36:12 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2011.04.28 18:36:12 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2011.04.28 18:36:00 | 000,000,463 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2011.04.28 18:35:59 | 000,000,052 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2011.04.28 18:35:59 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini [2010.12.05 05:18:30 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\AVIwrap.dll [2010.12.05 05:18:28 | 000,073,216 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.12.05 05:18:26 | 000,105,472 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll [2010.12.05 05:18:26 | 000,092,672 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll [2010.12.05 05:18:26 | 000,090,624 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll [2010.12.05 05:18:26 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll [2010.12.05 05:18:23 | 000,132,096 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll [2010.12.05 05:18:23 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\libmpeg2_ff.dll [2010.12.05 05:18:23 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\TomsMoComp_ff.dll [2010.12.05 05:18:22 | 000,077,664 | ---- | C] () -- C:\WINDOWS\System32\IR21_R.DLL [2010.12.05 05:18:22 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll [2010.12.05 05:18:21 | 000,180,736 | ---- | C] () -- C:\WINDOWS\System32\vfcodec.dll [2010.12.05 05:18:20 | 000,202,240 | ---- | C] () -- C:\WINDOWS\System32\XviD.dll [2010.12.05 05:18:19 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll [2010.07.16 17:13:32 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2010.06.07 15:40:56 | 000,032,608 | ---- | C] () -- C:\WINDOWS\king-uninstall.exe [2010.05.21 20:45:08 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.04.08 11:33:33 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.04.03 12:12:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010.03.22 20:30:08 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat [2010.03.22 01:31:20 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2010.03.22 00:30:31 | 000,034,304 | ---- | C] () -- C:\Dokumente und Einstellungen\Kekse\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.03.21 04:35:30 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.03.21 04:35:25 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat [2010.03.21 04:31:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2010.03.21 04:24:41 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2010.03.21 04:17:57 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2010.03.21 04:17:01 | 000,145,216 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007.11.06 21:00:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.11.06 21:00:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2007.11.06 21:00:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.11.06 21:00:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2007.11.06 21:00:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.11.06 21:00:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.11.06 21:00:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2006.02.07 13:35:10 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe [2006.02.07 13:35:10 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2006.02.07 13:35:10 | 000,001,176 | ---- | C] () -- C:\WINDOWS\ImpTable.bin [2004.08.10 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.10 14:00:00 | 000,450,272 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.08.10 14:00:00 | 000,434,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.08.10 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.10 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.10 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.10 14:00:00 | 000,080,744 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.08.10 14:00:00 | 000,068,042 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.08.10 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.10 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.10 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.10 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.10 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004.08.10 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2001.09.04 15:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 15:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat ========== LOP Check ========== [2010.12.06 23:21:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Planesoft [2010.06.22 12:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games [2011.05.22 16:00:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Big Fish Games [2010.08.10 01:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cerasus.media [2010.10.30 02:17:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deadtime Stories [2010.04.04 14:50:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy-PizzaParty [2010.04.16 07:58:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2 [2011.01.22 01:20:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\freshgames [2010.04.16 08:43:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse [2010.07.19 02:03:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GAMEON [2011.01.08 14:50:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iWin [2010.08.07 02:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear [2010.08.17 18:23:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lexiCan [2010.08.05 01:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Merscom [2011.05.22 16:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst [2010.12.13 18:21:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment [2010.04.16 08:41:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PoBros [2011.01.03 15:18:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games [2010.08.24 14:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games [2010.11.25 19:06:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SulusGames [2010.08.02 03:03:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T1 Games [2011.05.23 14:21:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.04.03 12:12:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Mirror Mysteries [2010.09.10 03:04:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yellow Tools [2010.10.09 02:44:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom [2010.05.22 23:16:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\.purple [2010.04.16 08:39:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\1morebee [2010.03.21 04:43:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Alltags-Programme [2010.04.16 08:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Anabel [2010.07.21 18:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Ancient Quest of Saqqarah__intenium [2010.10.27 10:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Arkadium [2010.12.03 13:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\ASCOMP Software [2010.09.01 19:23:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Audacity [2010.03.29 12:56:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Big Fish Games [2011.01.04 12:24:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Boolat Games [2010.10.31 16:20:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Boomzap [2010.11.23 03:30:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Brunhilda_real [2011.03.08 01:34:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\BSW [2010.08.10 01:22:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\cerasus.media [2010.04.16 08:46:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Coyotes Tale [2010.07.23 02:05:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\DarkParablesBriarRose_BFG_SE [2011.03.27 02:39:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\DivoGames [2010.03.27 20:04:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Dragon Altar Games [2011.07.07 23:22:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Dropbox [2010.06.20 17:18:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\FairyTale [2011.07.04 13:21:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\FileZilla [2011.01.22 01:20:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\freshgames [2010.04.08 11:53:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Friday's games [2010.11.07 01:49:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\GetRightToGo [2010.06.27 15:15:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\GraveyardShift [2011.04.13 01:32:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\gtk-2.0 [2011.03.03 17:01:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\ICQ [2011.01.08 14:50:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\iWin [2010.05.29 20:23:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\KompoZer [2010.07.25 03:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Lazy Turtle Games [2010.08.05 01:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Merscom [2010.03.21 22:18:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\MSNInstaller [2010.05.29 20:45:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Notepad++ [2010.03.24 21:56:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\OpenOffice.org [2011.06.29 13:53:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Opera [2010.03.23 17:54:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Orneon [2010.10.25 15:50:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\PeaceCraft2 [2010.08.03 13:01:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\pixelStorm [2011.05.22 16:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\PlayFirst [2010.04.16 08:41:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\PoBros [2010.12.31 18:04:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Sahmon Games [2010.06.24 13:48:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\ShinyTales [2010.03.22 20:30:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Skunk Studios [2010.10.27 02:16:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Specialbit [2010.09.09 16:39:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Steinberg [2010.03.21 17:33:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Thunderbird [2010.11.21 14:29:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Total Eclipse [2010.08.17 18:22:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\vetafab Software GmbH [2010.09.10 03:03:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Yellow Tools [2011.01.22 01:20:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kekse\Anwendungsdaten\Zylom ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.06.29 16:12:26 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2010.03.23 16:50:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2010.07.14 01:54:16 | 000,000,000 | ---D | M] -- C:\Hotspot Shield [2011.04.30 15:15:53 | 000,000,000 | ---D | M] -- C:\Lexmark [2010.09.10 03:03:30 | 000,000,000 | ---D | M] -- C:\Plug-Ins [2011.06.27 00:23:33 | 000,000,000 | R--D | M] -- C:\Programme [2010.03.21 04:36:47 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2010.12.20 02:55:44 | 000,000,000 | ---D | M] -- C:\Sandlot Games [2010.04.03 12:01:33 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.04.30 15:16:01 | 000,000,000 | ---D | M] -- C:\Temp [2011.07.07 23:22:03 | 000,000,000 | ---D | M] -- C:\WINDOWS [2011.01.08 14:48:53 | 000,000,000 | ---D | M] -- C:\Zylom Games < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2004.08.10 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe < MD5 for: REGEDIT.EXE > [2004.08.10 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe [2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.10 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.10 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-29 14:13:42 < > ========== Alternate Data Streams ========== @Alternate Data Stream - 215 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AE2EA3C2 @Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1F4329D4 @Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0EC7A545 @Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E9FAC3AB @Alternate Data Stream - 134 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E9B2C525 @Alternate Data Stream - 134 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:700B9342 @Alternate Data Stream - 132 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:47A24D4B @Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:663B62CA @Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DD04902E @Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D3A89E47 @Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A6D6E537 @Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9E9A3410 @Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EB333CFC @Alternate Data Stream - 124 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:60AC3BC3 @Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D01ACC06 @Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EA1919C7 @Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4C49306C @Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:72E6616C @Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:413E2927 @Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CF61CE5A @Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1ECED34B @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E51234A9 @Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:330E66BD @Alternate Data Stream - 107 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6F1F66C0 @Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A109A3D0 @Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9BD7A247 @Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6E97B83A < End of report > gmer: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-07-08 13:27:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e ST3160812AS rev.3.AAE
Running: irs92xyd.exe; Driver: C:\DOKUME~1\Kekse\LOKALE~1\Temp\pxtdapog.sys
---- System - GMER 1.0.15 ----
SSDT F7C81874 ZwClose
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwConnectPort [0xF4410534]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xF440A782]
SSDT F7C8182E ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreatePort [0xF4410CC0]
SSDT F7C8187E ZwCreateSection
SSDT F7C81824 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xF4410DF6]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xF440B398]
SSDT F7C81833 ZwDeleteKey
SSDT F7C8183D ZwDeleteValueKey
SSDT F7C8186F ZwDuplicateObject
SSDT F7C81842 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xF442BB44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xF440AFAA]
SSDT F7C81810 ZwOpenProcess
SSDT F7C81815 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xF442C8D2]
SSDT F7C8184C ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xF44100F4]
SSDT F7C81847 ZwRestoreKey
SSDT F7C81883 ZwSetContextThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xF440B75C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xF442CE12]
SSDT F7C81838 ZwSetValueKey
SSDT F7C8181F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6BC2360, 0x3441C7, 0xE8000020]
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Liebe Grüße, Kittykeks Edit: Mist, habe ich gleich zu Anfang in der falschen Ecke gepostet? Hätte ich bei Logfiles posten müssen? *blamier* Geändert von Kittykeks (08.07.2011 um 13:07 Uhr) |
|
10.07.2011, 19:14
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Joke/Rjump und Java Agent.M.1Zitat:
Zitat:
__________________ |
|
10.07.2011, 22:37
| #3 | ||
| | Joke/Rjump und Java Agent.M.1 Hallo,
__________________Zitat:
 Soll ichs nochmal durchlaufen lassen?Zitat:
 LG, Kittykeks |
|
11.07.2011, 08:52
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1 Hier müsste die Reports sein: C:\Dokumente und Einstellungen\(DEIN_NAME)\Lokale Einstellungen\Temp\decleaner\decleaner\setup\Report
__________________ Logfiles bitte immer in CODE-Tags posten |
|
11.07.2011, 16:25
| #5 | ||
| | Joke/Rjump und Java Agent.M.1 Hi, nee leider nicht zu finden dort... Vorhin hat mir aber Antivir was gemeldet, ich poste mal den Log: Zitat:
 Dann habe ich Malwarebytes aktualisiert und durchlaufen lassen, da kam nichts bei rum: Zitat:
|
|
11.07.2011, 21:30
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1Zitat:
__________________ --> Joke/Rjump und Java Agent.M.1 |
|
11.07.2011, 23:17
| #7 | |
| | Joke/Rjump und Java Agent.M.1 Oh ich Doofnuss....es war versteckt, musste die Ordner erst sichtbar machen.  Jetzt kann ich den Log posten vom DE-Cleaner: Zitat:
Geändert von Kittykeks (11.07.2011 um 23:24 Uhr) |
|
11.07.2011, 23:52
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1 Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
DRV - [2005.05.09 20:08:40 | 000,033,792 | ---- | M] (Team H2O) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cledx.sys -- (CLEDX)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.03.21 04:28:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell - "" = AutoRun
O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ba9ed90a-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell - "" = AutoRun
O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ba9ed90d-49a2-11df-9cea-0016173bd2cb}\Shell\AutoRun\command - "" = G:\AutoRun.exe
@Alternate Data Stream - 215 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AE2EA3C2
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1F4329D4
@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0EC7A545
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E9FAC3AB
@Alternate Data Stream - 134 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E9B2C525
@Alternate Data Stream - 134 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:700B9342
@Alternate Data Stream - 132 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:47A24D4B
@Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:663B62CA
@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DD04902E
@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D3A89E47
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A6D6E537
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9E9A3410
@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EB333CFC
@Alternate Data Stream - 124 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:60AC3BC3
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D01ACC06
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EA1919C7
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4C49306C
@Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:72E6616C
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:413E2927
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CF61CE5A
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1ECED34B
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E51234A9
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:330E66BD
@Alternate Data Stream - 107 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6F1F66C0
@Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A109A3D0
@Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9BD7A247
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6E97B83A
:Files
C:\Programme\Syncrosoft\POS\H2O
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2011, 00:04
| #9 | |
| | Joke/Rjump und Java Agent.M.1 Danke schonmal für die fleißige Hilfe! Habe das gemacht, hier ist der Log: Zitat:
|
|
12.07.2011, 00:39
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1 Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2011, 01:06
| #11 |
| | Joke/Rjump und Java Agent.M.1 Hallo Cosinus, ich habe es laufen lassen-es kommt kein Log, sondern nur: Infection: not found. Ist das ein gutes Zeichen? |
|
12.07.2011, 01:15
| #12 | |
| | Joke/Rjump und Java Agent.M.1 Ich bin schon wieder superschlau gewesen...Report gefunden *kicher* Hier ist er: Zitat:
|
|
12.07.2011, 11:12
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2011, 12:13
| #14 |
| | Joke/Rjump und Java Agent.M.1 geschafft! Als er mich fragte, ob ich den Ordner "WINDOWS" wirklich löschen will, hab ich ganz brav ja gedrückt...*hihi* Combofix Logfile: Code:
ATTFilter ComboFix 11-07-12.04 - Kekse 12.07.2011 13:02:48.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.728 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kekse\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Kekse\WINDOWS
c:\programme\Hotspot Shield\HssIE\HsSIe.dll
c:\windows\IsUn0407.exe
c:\windows\system32\CoolXPProgress.ocx
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-12 bis 2011-07-12 ))))))))))))))))))))))))))))))
.
.
2011-07-11 23:02 . 2011-07-11 23:02 -------- d-----w- C:\_OTL
2011-07-11 14:49 . 2011-07-11 14:49 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2011-07-11 11:48 . 2011-07-11 11:48 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-10 21:31 . 2011-07-10 21:31 -------- d-----w- c:\windows\Internet Logs
2011-07-09 21:30 . 2011-07-09 21:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-07-09 21:30 . 2011-05-04 02:52 476904 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-07-09 21:30 . 2011-05-04 02:52 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-07-07 21:31 . 2011-07-11 13:08 -------- d-----w- c:\windows\system32\NtmsData
2011-06-26 22:23 . 2011-06-26 22:23 -------- d-----w- c:\programme\AC3Filter
2011-06-23 19:45 . 2011-06-23 19:45 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-23 19:45 . 2011-06-23 19:45 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-06-15 13:02 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-07 21:17 . 2010-03-21 15:26 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-07 21:17 . 2010-03-21 15:26 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-05-29 07:11 . 2010-05-21 22:25 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2010-05-21 22:25 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-04 00:25 . 2010-03-22 14:20 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-05-02 15:31 . 2010-03-21 02:25 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-10 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-10 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-10 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-10 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-10 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2010-04-09 07:10 . 2010-04-09 07:10 23510016 -c--a-w- c:\programme\Independence Free.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2011-06-23 19:45 . 2011-03-26 19:18 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2004-08-10 12:00 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"nwiz"="nwiz.exe" [2007-11-06 1626112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-13 281768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kekse^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Kekse\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kekse^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=c:\dokumente und einstellungen\Kekse\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18 133432 ----a-w- c:\programme\ICQ7.0\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 21:12 3872080 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Dokumente und Einstellungen\\Kekse\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 17:26 136360]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [07.02.2006 13:35 1287296]
S2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{2216EE52-0E03-4B23-A815-CD68DBE8B5CC}: NameServer = 213.191.92.87,213.191.74.19
FF - ProfilePath - c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Mozilla\Firefox\Profiles\baptwamx.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fahrinfo-berlin.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-CleanUp XP - c:\programme\CleanUp XP\CleanUp.exe
MSConfigStartUp-H2O - c:\programme\SyncroSoft\Pos\H2O\cledx.exe
AddRemove-SyncroSoft Emu - c:\programme\SyncroSoft\Pos\H2O\Uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-12 13:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-12 13:10:55
ComboFix-quarantined-files.txt 2011-07-12 11:10
.
Vor Suchlauf: 11 Verzeichnis(se), 43.261.140.992 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 43.763.933.184 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 2A11CB65D3E7D37E541C362C912B4376
|
|
12.07.2011, 14:06
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Joke/Rjump und Java Agent.M.1 Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Joke/Rjump und Java Agent.M.1 |
| 0x00000001, alternate, anfang, antivir, avira, bho, browser, c:\windows\system32\rundll32.exe, einstellungen, entfernen, explorer, firefox, harddisk, hdaudio.sys, hotspot, hotspot shield, java/agent.bh, java/agent.m.1, java/agent.m.2, joke/rjump, microsoft, mozilla thunderbird, plug-in, registry, server, tr/crypt.zpack.gen2, wallpaper, winlogon, winlogon.exe |
D04902E deleted successfully.
Linear-Darstellung
