| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.10.2011, 16:38
| #1 | |
| |  Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE Hallo liebes Team, heute ist auf einmal beim Skypen alles abgestürzt, mein Bildschirm schwarz geworden und alle meine Dateien sind nicht mehr da. Ich habe Windwos XP und Microsoft Security Essentials (MSE). Ein Scan bei MSE sagte, dass Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE auf dem PC seien. Ich habe bei MSE auf "entfernen" gedrückt, aber es bringt nichts. Alle paar Minuten kommen ca. 15 Fenster (ich mache sie immer alle zu) mit "Windows - delayed write failed" und "Failed to save all the components for the file... The file is corrupted or unreadable. This error may be caused by a PC hardware problem" Ca. alle 5 Minuten kommt 1 Fenster: "Files indexation process failed. Indexation process failure may cause: -file may become unreadable -files and documents can be lost -operation system may slow down dramatically. To prevent possible damage to this PC follow the recommendations: It`s highly recommenaded to run file integrity checker now and resolve this issue." Wenn ich auf "resolve this issue" clicke, steht da ich soll eine Version von MSE käuflich erwerben, da sonst nicht alle Sachen gelöst werden können. Ich habe mir die letzten paar Stunden andere Threads zu dem Trojaner hier durchgelesen und man soll ja immer Malwarebytes runterladen und OTL. Jetzt habe ich Malwarebytes heruntergeladen und einen vollständigen Scan gemacht. Aber jetzt kam nach ca. 25 Minuten eine Meldung "Malwarebytes hat den Ausführungsversuch eines bösartigen Prozesses festgestellt und dessen Ausführung unterbunden. Bitte wählen Sie eine der folgenden Optionen aus. C:\DOKUMENTE UND EINSTELLUNGEN?ALL USERS\ANWENDUNGSDATEN\6DSS92C31APGJK.EXE(TROJAN.FAKEALTERT) -->Schutz deaktivieren, -->Ignoriere oder -->Quarantäne" Ich wollte ja eigentlich erst Malwarebytes und OTL machen und dann hier um Hilfe bitten, aber jetzt weiß ich schon bei diesem Schritt nicht, welche der drei Optionen ich wählen soll...? Vom gesunden Menschenverstand würde ich sagen "Quarantäne", aber ich will hier jetzt nicht wild rumklicken und dann alles noch schlimmer machen. Ohje, das fängt schon gut an... Vielen, vielen Dank im Voraus für jegliche Hilfe! Lea Ich habe jetzt nichts geclickt und das einfach durchlaufen lassen. Zitat:
OTL Logfile: OTL EXTRAS Logfile: Code:
ATTFilter OTL logfile created on: 29.10.2011 20:02:46 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 503,36 Mb Total Physical Memory | 91,36 Mb Available Physical Memory | 18,15% Memory free 1,20 Gb Paging File | 0,79 Gb Available in Paging File | 66,09% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 48,57 Gb Total Space | 12,24 Gb Free Space | 25,20% Space Free | Partition Type: NTFS Drive D: | 7,33 Gb Total Space | 0,42 Gb Free Space | 5,77% Space Free | Partition Type: NTFS Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.10.29 19:41:24 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe PRC - [2011.08.31 17:00:48 | 000,449,608 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2011.06.15 15:16:48 | 000,997,920 | -H-- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe PRC - [2011.04.27 15:39:26 | 000,011,736 | -H-- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe PRC - [2010.08.13 10:28:56 | 000,345,600 | -H-- | M] () -- C:\WINDOWS\tsnp325.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.05.10 13:18:10 | 000,835,584 | -H-- | M] () -- C:\WINDOWS\vsnp325.exe PRC - [2006.06.20 21:08:48 | 000,049,152 | -H-- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe PRC - [2006.02.15 17:43:16 | 000,892,928 | -H-- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe PRC - [2005.12.23 13:44:26 | 000,491,606 | -H-- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe PRC - [2005.08.31 05:20:00 | 000,122,940 | -H-- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE ========== Modules (No Company Name) ========== MOD - [2010.08.13 10:28:56 | 000,345,600 | -H-- | M] () -- C:\WINDOWS\tsnp325.exe MOD - [2009.12.21 03:42:16 | 000,176,235 | -H-- | M] () -- C:\WINDOWS\system32\Primomonnt.dll MOD - [2008.04.14 04:22:16 | 000,014,336 | -H-- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2007.05.10 13:18:10 | 000,835,584 | -H-- | M] () -- C:\WINDOWS\vsnp325.exe MOD - [2006.02.15 17:43:16 | 000,892,928 | -H-- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe MOD - [2005.12.23 13:44:26 | 000,491,606 | -H-- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe MOD - [2004.06.01 11:39:56 | 000,094,274 | -H-- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.04.27 15:39:26 | 000,011,736 | -H-- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc) SRV - [2006.06.20 21:08:48 | 000,049,152 | -H-- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService) SRV - [2005.04.04 00:41:10 | 000,069,632 | -H-- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.08.11 00:46:56 | 000,483,328 | -H-- | M] (Microsoft Corporation) [Unknown | Stopped] -- c:\Programme\Windows Media Connect\mswmccds.exe -- (WmcCds) Windows Media Connect (WMC) SRV - [2004.08.10 21:50:42 | 000,028,160 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Connect\mswmcls.exe -- (WmcCdsLs) SRV - [2003.07.28 12:28:22 | 000,089,136 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.03.09 06:31:02 | 000,065,795 | RH-- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - [2011.10.29 19:45:49 | 000,028,752 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A3A91F96-A595-4017-921D-A2264FDA0D8E}\MpKsl339cf9f3.sys -- (MpKsl339cf9f3) DRV - [2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.08.10 10:15:30 | 010,502,784 | -H-- | M] (Sonix Co. Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snp325.sys -- (SNP325) USB PC Camera (SNPSTD325) DRV - [2009.09.15 14:47:08 | 000,082,380 | -H-- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K) DRV - [2009.08.27 11:05:18 | 000,371,248 | -H-- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) DRV - [2006.07.31 03:00:08 | 001,155,584 | -H-- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2006.06.12 12:36:30 | 000,009,344 | -H-- | M] (Hewlett Packard) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hpfxbulk.sys -- (HPFXBULK) DRV - [2006.03.30 14:39:48 | 000,130,432 | -H-- | M] (AuthenTec, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\atswpdrv.sys -- (ATSWPDRV) AuthenTec TruePrint USB Driver (AES2500) DRV - [2006.02.09 03:00:04 | 000,142,720 | -H-- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) Broadcom NetLink (TM) DRV - [2006.02.09 03:00:04 | 000,045,312 | -H-- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) DRV - [2006.01.19 15:50:40 | 001,428,096 | -H-- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R) DRV - [2006.01.19 15:50:14 | 000,424,320 | -H-- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX) DRV - [2006.01.19 09:45:00 | 000,057,096 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2005.09.19 14:24:20 | 000,005,760 | -H-- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EabUsb.sys -- (eabusb) DRV - [2005.09.19 14:24:10 | 000,009,344 | -H-- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey) DRV - [2005.09.19 14:23:52 | 000,007,808 | -H-- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\eabfiltr.sys -- (eabfiltr) DRV - [2005.08.31 05:20:00 | 000,094,332 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM) DRV - [2005.08.31 05:20:00 | 000,087,036 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M) DRV - [2005.08.31 05:20:00 | 000,086,524 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M) DRV - [2005.08.31 05:20:00 | 000,025,628 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM) DRV - [2005.08.31 05:20:00 | 000,014,684 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM) DRV - [2005.08.31 05:20:00 | 000,006,364 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM) DRV - [2005.08.31 05:20:00 | 000,002,496 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN) DRV - [2005.08.25 12:16:52 | 000,005,628 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM) DRV - [2005.08.25 12:16:16 | 000,022,684 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N) DRV - [2001.08.18 04:35:52 | 000,035,913 | -H-- | M] (SMC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\smcirda.sys -- (SMCIRDA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hp.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.tagesschau.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8442 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\Tracker Software\npPDFXCviewNPPlugin.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.23\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.04 19:50:02 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.23\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.04 19:50:02 | 000,000,000 | -H-D | M] [2009.09.14 21:54:52 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\bärbel\Anwendungsdaten\Mozilla\Extensions [2011.10.28 08:13:54 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\yx8qsm0y.default\extensions [2011.07.19 15:53:05 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\bärbel\Anwendungsdaten\Mozilla\Firefox\Profiles\yx8qsm0y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.10.27 22:11:53 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.10.16 20:49:11 | 000,000,000 | -H-D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\YX8QSM0Y.DEFAULT\EXTENSIONS\{20A82645-C095-46ED-80E3-08825760534B} [2009.09.14 22:30:45 | 000,000,000 | -H-D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2010.03.02 13:28:18 | 000,164,120 | -H-- | M] (Tracker Software Products Ltd.) -- C:\Programme\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll [2011.06.24 09:38:10 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.06.24 09:38:10 | 000,002,344 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.06.24 09:38:10 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.06.24 09:38:10 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.06.24 09:38:10 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 10:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe () O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe () O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe () O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe () O4 - HKLM..\Run: [snp325] C:\WINDOWS\vsnp325.exe () O4 - HKLM..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe () O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.) O4 - HKCU..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled [2011.10.29 12:37:57 | 000,000,000 | -H-D | M] O4 - Startup: C:\Dokumente und Einstellungen\bärbel\Startmenü\Programme\Autostart\AutorunsDisabled [2011.02.03 12:21:40 | 000,000,000 | -H-D | M] O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_16.dll (Sun Microsystems, Inc.) O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D27B717F-E38D-4197-9A2C-8DD3500AF1E0}: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FAC4C56E-CB8B-4316-9726-6026FEA4CDEE}: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2001.07.28 01:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2004.04.30 17:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ] O33 - MountPoints2\{182ceb30-40a6-11df-80e2-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\NATASA//pazhin.exe O33 - MountPoints2\{182ceb30-40a6-11df-80e2-0014a5e9bf3b}\Shell\open\command - "" = F:\NATASA//pazhin.exe O33 - MountPoints2\{182ceb33-40a6-11df-80e2-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\NATASA//pazhin.exe O33 - MountPoints2\{182ceb33-40a6-11df-80e2-0014a5e9bf3b}\Shell\open\command - "" = F:\NATASA//pazhin.exe O33 - MountPoints2\{22ed507c-e2f3-11df-81ae-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{22ed507c-e2f3-11df-81ae-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\KOLONIJA\letsrok.exe O33 - MountPoints2\{22ed507c-e2f3-11df-81ae-0014a5e9bf3b}\Shell\explore\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{22ed507c-e2f3-11df-81ae-0014a5e9bf3b}\Shell\Install\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{22ed507c-e2f3-11df-81ae-0014a5e9bf3b}\Shell\open\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{22ed507d-e2f3-11df-81ae-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{22ed507d-e2f3-11df-81ae-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\KOLONIJA\letsrok.exe O33 - MountPoints2\{22ed507d-e2f3-11df-81ae-0014a5e9bf3b}\Shell\explore\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{22ed507d-e2f3-11df-81ae-0014a5e9bf3b}\Shell\Install\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{22ed507d-e2f3-11df-81ae-0014a5e9bf3b}\Shell\open\command - "" = F:\KOLONIJA\\letsrok.exe O33 - MountPoints2\{582ec150-c7c8-11df-818e-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{582ec150-c7c8-11df-818e-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{582ec150-c7c8-11df-818e-0014a5e9bf3b}\Shell\explore\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{582ec150-c7c8-11df-818e-0014a5e9bf3b}\Shell\Install\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{582ec150-c7c8-11df-818e-0014a5e9bf3b}\Shell\open\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{688ccebe-1997-11df-8099-0014a5e9bf3b}\Shell - "" = AutoRun O33 - MountPoints2\{688ccebe-1997-11df-8099-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{688ccebe-1997-11df-8099-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a O33 - MountPoints2\{712af5c8-3788-11df-80d5-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\AVTORUN//slovenec.exe O33 - MountPoints2\{712af5c8-3788-11df-80d5-0014a5e9bf3b}\Shell\open\command - "" = F:\AVTORUN//slovenec.exe O33 - MountPoints2\{a53f09fb-699a-11df-8123-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a53f09fb-699a-11df-8123-0014a5e9bf3b}\Shell\AutoRun\command - "" = G:\klade\\valjka.exe O33 - MountPoints2\{a53f09fb-699a-11df-8123-0014a5e9bf3b}\Shell\explore\command - "" = G:\klade\valjka.exe O33 - MountPoints2\{a53f09fb-699a-11df-8123-0014a5e9bf3b}\Shell\install\command - "" = G:\klade\valjka.exe O33 - MountPoints2\{a53f09fb-699a-11df-8123-0014a5e9bf3b}\Shell\open\command - "" = G:\klade\valjka.exe O33 - MountPoints2\{a83f9278-0cdf-11e0-81cc-0014a5e9bf3b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a83f9278-0cdf-11e0-81cc-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{a83f9278-0cdf-11e0-81cc-0014a5e9bf3b}\Shell\explore\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{a83f9278-0cdf-11e0-81cc-0014a5e9bf3b}\Shell\Install\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{a83f9278-0cdf-11e0-81cc-0014a5e9bf3b}\Shell\open\command - "" = F:\womengomed\\\bionce.exe O33 - MountPoints2\{a9ae42af-3a50-11df-80da-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\AVTORUN//slovenec.exe O33 - MountPoints2\{a9ae42af-3a50-11df-80da-0014a5e9bf3b}\Shell\open\command - "" = F:\AVTORUN//slovenec.exe O33 - MountPoints2\{ab86dd5a-a60f-11de-8031-0014a5e9bf3b}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe O33 - MountPoints2\{ab86dd5a-a60f-11de-8031-0014a5e9bf3b}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe O33 - MountPoints2\{bf5be6be-dba6-11de-805a-0014a5e9bf3b}\Shell\AutoRun\command - "" = F:\Toshiba\more4you.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.10.29 19:42:58 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.10.29 17:25:55 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2011.10.29 16:51:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2011.10.29 16:51:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.10.29 16:51:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.10.29 16:51:00 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.10.29 16:50:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.10.29 16:28:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\System Restore [2011.10.29 12:43:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth [2011.10.16 21:28:22 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.05.10 16:58:10 | 000,163,840 | -H-- | C] ( ) -- C:\WINDOWS\System32\rsnp325.dll [2011.05.10 16:58:10 | 000,061,440 | -H-- | C] ( ) -- C:\WINDOWS\System32\vsnp325.dll [2011.05.10 16:20:59 | 000,053,248 | -H-- | C] ( ) -- C:\WINDOWS\System32\csnp325.dll [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.10.29 19:50:51 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2011.10.29 19:45:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.10.29 19:45:24 | 527,880,192 | -HS- | M] () -- C:\hiberfil.sys [2011.10.29 19:41:24 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.10.29 16:51:06 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.10.29 16:28:07 | 000,000,849 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\System Restore.lnk [2011.10.29 12:41:28 | 000,000,192 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~6DSS92c31Apgjk [2011.10.29 12:41:28 | 000,000,088 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~6DSS92c31Apgjkr [2011.10.29 12:41:21 | 000,000,328 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk [2011.10.27 23:57:41 | 000,002,509 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk [2011.10.17 09:04:00 | 000,463,666 | -H-- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.10.17 09:04:00 | 000,445,092 | -H-- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.10.17 09:04:00 | 000,086,282 | -H-- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.10.17 09:04:00 | 000,072,776 | -H-- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.10.17 07:22:14 | 000,298,848 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.10.16 21:32:14 | 000,001,393 | -H-- | M] () -- C:\WINDOWS\imsins.BAK [2011.10.16 16:29:14 | 000,001,158 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.10.29 16:51:06 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.10.29 16:28:07 | 000,000,849 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\System Restore.lnk [2011.10.29 12:41:28 | 000,000,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~6DSS92c31Apgjk [2011.10.29 12:41:28 | 000,000,088 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~6DSS92c31Apgjkr [2011.10.29 12:41:21 | 000,000,328 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk [2011.05.10 16:58:17 | 000,835,584 | -H-- | C] () -- C:\WINDOWS\vsnp325.exe [2011.05.10 16:58:16 | 000,345,600 | -H-- | C] () -- C:\WINDOWS\tsnp325.exe [2011.05.10 16:58:16 | 000,015,498 | -H-- | C] () -- C:\WINDOWS\snp325.ini [2011.05.10 16:58:11 | 000,003,968 | -H-- | C] () -- C:\WINDOWS\System32\drivers\denoise.sys [2011.02.03 12:19:44 | 000,413,184 | -H-- | C] () -- C:\WINDOWS\System32\proton.exe [2011.02.03 12:19:44 | 000,205,312 | -H-- | C] () -- C:\WINDOWS\System32\rsync.exe [2011.02.03 12:19:44 | 000,114,176 | -H-- | C] () -- C:\WINDOWS\System32\gpscript.exe [2011.02.03 12:19:44 | 000,103,936 | -H-- | C] () -- C:\WINDOWS\System32\ini2reg.exe [2011.02.03 12:19:44 | 000,092,160 | -H-- | C] () -- C:\WINDOWS\System32\gpcvreg.exe [2011.02.03 12:19:44 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\MATH.EXE [2011.02.03 12:19:44 | 000,064,512 | -H-- | C] () -- C:\WINDOWS\System32\mklink.exe [2011.02.03 12:19:44 | 000,056,320 | -H-- | C] () -- C:\WINDOWS\System32\logger.exe [2011.02.03 12:19:44 | 000,053,248 | -H-- | C] () -- C:\WINDOWS\System32\msgbox.exe [2011.02.03 12:19:44 | 000,052,224 | -H-- | C] () -- C:\WINDOWS\System32\moveex.exe [2011.02.03 12:19:44 | 000,047,104 | -H-- | C] () -- C:\WINDOWS\System32\instfont.exe [2011.02.03 12:19:44 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\deveject.exe [2011.02.03 12:19:44 | 000,043,008 | -H-- | C] () -- C:\WINDOWS\System32\filesize.exe [2011.02.03 12:19:44 | 000,042,496 | -H-- | C] () -- C:\WINDOWS\System32\forcedir.exe [2011.02.03 12:19:44 | 000,029,696 | -H-- | C] () -- C:\WINDOWS\System32\iskeydown.exe [2011.02.03 12:19:44 | 000,023,040 | -H-- | C] () -- C:\WINDOWS\System32\flushdrv.exe [2011.02.03 12:19:44 | 000,023,040 | -H-- | C] () -- C:\WINDOWS\System32\CRC1632.exe [2011.02.03 12:19:44 | 000,022,528 | -H-- | C] () -- C:\WINDOWS\System32\cygpopt-0.dll [2011.02.03 12:19:44 | 000,022,016 | -H-- | C] () -- C:\WINDOWS\System32\display.exe [2011.02.03 12:19:44 | 000,020,480 | -H-- | C] () -- C:\WINDOWS\System32\MACID.exe [2011.02.03 12:19:44 | 000,017,920 | -H-- | C] () -- C:\WINDOWS\System32\ERRLV.exe [2011.02.03 12:19:44 | 000,017,920 | -H-- | C] () -- C:\WINDOWS\System32\DIREXIST.exe [2011.02.03 12:19:44 | 000,017,408 | -H-- | C] () -- C:\WINDOWS\System32\NOCRLF.exe [2011.02.03 12:19:44 | 000,015,168 | -H-- | C] () -- C:\WINDOWS\System32\wait.exe [2011.02.03 12:19:44 | 000,009,216 | -H-- | C] () -- C:\WINDOWS\System32\depends.dll [2011.02.03 12:19:44 | 000,006,144 | -H-- | C] () -- C:\WINDOWS\System32\DIPSLIB.DLL [2011.02.03 12:19:44 | 000,005,120 | -H-- | C] () -- C:\WINDOWS\System32\MachLink.exe [2011.02.03 12:19:44 | 000,002,758 | -H-- | C] () -- C:\WINDOWS\System32\OPENEDFILESVIEW_lng.ini [2011.02.03 12:19:43 | 000,260,976 | -H-- | C] () -- C:\WINDOWS\System32\ShareEnum.exe [2011.02.03 12:19:43 | 000,086,528 | -H-- | C] () -- C:\WINDOWS\System32\unstopcp.exe [2011.02.03 12:19:43 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\System32\Volumeid.exe [2011.02.03 12:19:43 | 000,007,168 | -H-- | C] () -- C:\WINDOWS\System32\DIPS.EXE [2011.02.03 12:19:43 | 000,003,457 | -H-- | C] () -- C:\WINDOWS\System32\WEEKOFYR.COM [2011.02.03 12:19:42 | 000,154,424 | -H-- | C] () -- C:\WINDOWS\System32\LoadOrd.exe [2011.02.03 12:19:42 | 000,154,424 | -H-- | C] () -- C:\WINDOWS\System32\ldmdump.exe [2011.02.03 12:19:42 | 000,150,328 | -H-- | C] () -- C:\WINDOWS\System32\pipelist.exe [2011.02.03 12:19:42 | 000,150,328 | -H-- | C] () -- C:\WINDOWS\System32\hex2dec.exe [2011.02.03 12:19:42 | 000,146,232 | -H-- | C] () -- C:\WINDOWS\System32\movefile.exe [2011.02.03 12:19:42 | 000,146,232 | -H-- | C] () -- C:\WINDOWS\System32\efsdump.exe [2011.02.03 12:19:42 | 000,122,680 | -H-- | C] () -- C:\WINDOWS\System32\ntfsinfo.exe [2011.02.03 12:19:42 | 000,011,728 | -H-- | C] () -- C:\WINDOWS\System32\DMON.SYS [2011.02.03 12:19:41 | 000,154,424 | -H-- | C] () -- C:\WINDOWS\System32\Cacheset.exe [2011.02.03 12:19:41 | 000,150,328 | -H-- | C] () -- C:\WINDOWS\System32\ctrl2cap.exe [2011.02.03 12:19:41 | 000,150,328 | -H-- | C] () -- C:\WINDOWS\System32\adrestore.exe [2011.02.03 12:19:41 | 000,082,944 | -H-- | C] () -- C:\WINDOWS\System32\Purger.exe [2011.02.03 12:19:41 | 000,071,680 | -H-- | C] () -- C:\WINDOWS\System32\Rname-it.exe [2011.02.03 12:19:41 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\System32\PowerPrompt.exe [2011.02.03 12:19:41 | 000,029,696 | -H-- | C] () -- C:\WINDOWS\System32\doff.exe [2011.02.03 12:19:41 | 000,000,273 | -H-- | C] () -- C:\WINDOWS\System32\BSP1.INI [2011.02.03 12:19:41 | 000,000,161 | -H-- | C] () -- C:\WINDOWS\System32\BSP2.INI [2011.02.03 12:19:41 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\BSP3.INI [2011.01.20 14:54:41 | 000,176,235 | -H-- | C] () -- C:\WINDOWS\System32\Primomonnt.dll [2011.01.20 14:39:40 | 000,000,021 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ExpPDFSAMSystem.kje [2010.03.14 18:02:41 | 000,000,220 | -H-- | C] () -- C:\WINDOWS\SCNDRVU.INI [2010.02.28 22:01:21 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2009.12.21 03:42:18 | 000,000,306 | -H-- | C] () -- C:\WINDOWS\primopdf.ini [2009.10.05 19:55:42 | 000,029,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.09.15 14:38:03 | 000,020,441 | -H-- | C] () -- C:\WINDOWS\hpoins01.dat [2009.09.15 14:38:03 | 000,016,622 | -H-- | C] () -- C:\WINDOWS\hpomdl01.dat [2009.09.15 14:32:48 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\ODBC.INI [2009.09.15 06:22:59 | 000,000,060 | -H-- | C] () -- C:\WINDOWS\System32\SYSDRV.DAT [2009.09.14 23:10:19 | 000,000,454 | -H-- | C] () -- C:\WINDOWS\hpbvspst.ini [2009.09.14 23:10:01 | 000,001,335 | -H-- | C] () -- C:\WINDOWS\hpbvnstp.ini [2009.09.14 23:00:26 | 000,094,425 | -H-- | C] () -- C:\WINDOWS\hppins05.dat [2009.09.14 23:00:25 | 000,000,896 | -H-- | C] () -- C:\WINDOWS\hppmdl05.dat [2009.09.14 22:54:28 | 000,000,141 | -H-- | C] () -- C:\WINDOWS\BRVIDEO.INI [2009.09.14 22:54:28 | 000,000,040 | -H-- | C] () -- C:\WINDOWS\BRDIAG.INI [2009.09.14 22:54:26 | 000,000,023 | -H-- | C] () -- C:\WINDOWS\Brownie.ini [2009.09.14 22:54:10 | 000,026,624 | -H-- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2009.09.14 22:54:09 | 000,077,824 | -H-- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL [2009.09.14 22:54:09 | 000,004,608 | -H-- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2009.09.14 22:54:07 | 000,009,013 | -H-- | C] () -- C:\WINDOWS\HL-2030.INI [2009.09.14 21:54:45 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat [2009.09.14 21:33:37 | 000,204,800 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2009.09.14 21:33:37 | 000,200,704 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2009.09.14 21:33:37 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2009.09.14 21:33:37 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2009.09.14 21:33:37 | 000,188,416 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2009.09.14 21:33:37 | 000,020,480 | -H-- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2009.09.14 21:32:23 | 000,000,141 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.08.22 21:48:29 | 000,000,175 | -H-- | C] () -- C:\WINDOWS\wininit.ini [2006.08.22 21:47:06 | 000,030,064 | -H-- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2006.06.12 12:36:30 | 000,241,664 | -H-- | C] () -- C:\WINDOWS\System32\hppapr04.DLL [2006.06.12 12:36:30 | 000,000,526 | -H-- | C] () -- C:\WINDOWS\System32\hppapr04.DAT [2005.12.01 21:11:40 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\px.ini [2004.08.07 07:32:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2004.08.07 07:32:26 | 000,000,061 | -H-- | C] () -- C:\WINDOWS\smscfg.ini [2004.08.07 07:27:00 | 000,463,666 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.08.07 07:27:00 | 000,445,092 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.08.07 07:27:00 | 000,086,282 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.08.07 07:27:00 | 000,072,776 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.08.07 07:25:50 | 000,000,849 | -H-- | C] () -- C:\WINDOWS\orun32.ini [2004.08.07 07:19:00 | 000,298,848 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2004.08.07 07:13:54 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI [2004.08.07 07:10:50 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.08.04 10:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.04 10:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.04 10:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.04 10:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.04 10:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.04 10:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.04 10:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.04 10:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.04 10:00:00 | 000,001,804 | -H-- | C] () -- C:\WINDOWS\System32\dcache.bin [2004.08.04 10:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat [2004.06.01 11:39:56 | 000,094,274 | -H-- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2003.03.09 06:31:04 | 000,561,152 | -H-- | C] () -- C:\WINDOWS\System32\hpotscl.dll [2003.02.20 17:53:42 | 000,005,702 | -H-- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002.05.28 10:55:42 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin [2002.05.28 10:54:40 | 000,004,605 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.07.06 16:30:00 | 000,003,254 | -H-- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI [1998.05.07 04:10:00 | 000,069,632 | -H-- | C] () -- C:\WINDOWS\System32\ODMA32.dll ========== LOP Check ========== [2010.03.25 08:46:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Langenscheidt [2010.03.14 17:46:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters [2010.03.14 17:46:20 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB [2010.03.14 23:49:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip [2009.11.17 21:58:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo [2010.03.25 08:46:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Langenscheidt [2009.09.14 22:45:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org [2011.09.29 23:10:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PrimoPDF [2006.08.23 08:01:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SampleView [2011.09.06 11:58:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Softland [2011.02.03 17:21:53 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer [2011.10.29 19:50:51 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job ========== Purity Check ========== ========== Files - Unicode (All) ========== [2011.10.17 08:57:26 | 000,033,792 | -H-- | M] ()(C:\Dokumente und Einstellungen\***\Desktop\????? ????? ????? ?????? ?????.doc) -- C:\Dokumente und Einstellungen\***\Desktop\***.doc [2011.10.17 08:57:25 | 000,033,792 | -H-- | C] ()(C:\Dokumente und Einstellungen\***\Desktop\????? ????? ????? ?????? ?????.doc) -- C:\Dokumente und Einstellungen\***\Desktop\***.doc < End of report > --- --- --- OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 29.10.2011 20:02:46 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
503,36 Mb Total Physical Memory | 91,36 Mb Available Physical Memory | 18,15% Memory free
1,20 Gb Paging File | 0,79 Gb Available in Paging File | 66,09% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,57 Gb Total Space | 12,24 Gb Free Space | 25,20% Space Free | Partition Type: NTFS
Drive D: | 7,33 Gb Total Space | 0,42 Gb Free Space | 5,77% Space Free | Partition Type: NTFS
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\SMINST\Scheduler.exe" = C:\WINDOWS\SMINST\Scheduler.exe:*:Enabled:Scheduler -- ()
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.0
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{075473F5-846A-448B-BCB3-104AA1760205}" = Sonic Data Module
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{14EC807A-F88E-4FCF-8013-CB909F930E88}_is1" = PDF-Tools 4
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{209962E3-F989-416B-A31E-76CF8DEEFF36}" = PDF Merger Pro
"{21657574-BD54-48A2-9450-EB03B2C7FC29}" = Sonic MyDVD Plus
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons 6.00 H1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}" = ST Wiederherstellungs- & Sicherungsprogramme
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{414C803A-6115-4DB6-BD4E-FD81EA6BC71C}" = Product_SF_Min_QFolder
"{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}" = HP Wireless Assistant 2.00 E1
"{4640FDE1-B83A-4376-84ED-86F86BEE2D41}" = Driver Detective
"{48CF6549-B45D-4313-9927-EFCCC8A3493F}" = TIPCI
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{54B6DC7D-8C5B-4DFB-BC15-C010A3326B2B}" = Microsoft Security Client
"{561D20B1-766E-4EA5-8A1D-B7357D903673}" = hppIOFiles
"{5D97A4A7-C274-4B63-86D9-07A33435F505}" = InterVideo DVD Check
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6441FECE-0E73-4326-81BF-68503E897820}" = CorePLS_Min_QFolder
"{6675C262-A7BD-4C09-9C7F-77168A871D95}" = Vokabeltrainer-Update 5.0.3
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{69E6C13B-CF6B-47A6-B7A5-77FE82B2CB40}" = hppFonts
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9F7AF7CD-E3D0-4C68-A3BA-C76C359B3AA8}" = LightScribe 1.4.105.1
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = Sonic Audio Module
"{AC76BA86-7AD7-1031-7B44-A70500000002}" = Adobe Reader 7.0.5 - Deutsch
"{B12665F4-4E93-4AB4-B7FC-37053B524629}" = Sonic Copy Module
"{B376402D-58EA-45EA-BD50-DD924EB67A70}" = HP Speicher-Disc
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C5098CA3-ED54-40E7-964A-B73E11AADB2A}" = Langenscheidt Vokabeltrainer 5.0 Englisch
"{C900EF06-2E76-49C7-8DB0-41F629B21DC5}" = hp psc 1200 series
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DB0781F5-06D2-49BB-87B5-00F3B834FC3B}" = HP User Guides 0015
"{DB518BA6-CB74-4EB6-9ABD-880B6D6E1F38}" = HpSdpAppCoreApp
"{E0DBC47C-ED3F-4A1B-A929-9A26DAAA14B3}" = Application Installer 4.00.B5
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EDAE4F43-833C-443B-8DB5-129F897DF3E8}" = hppWebRegMM
"{EE85E96B-FA8C-4A39-A977-3868D679ABF2}" = Brother HL-2030
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F38D0F99-1BFC-47AB-AC36-8D9D43700CFB}" = hppManualsP2015
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{F9466082-90E9-4BE4-92F0-CF0AF195B0CF}" = SPEEDLINK Reflect2 Camera
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"CCleaner" = CCleaner
"doPDF 7 printer_is1" = doPDF 7.2 printer
"ERUNT_is1" = ERUNT 1.1j
"HP LaserJet P2015" = HP LaserJet P2015 Series 1.0
"HP PSC 1200 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
"InstallShield_{48CF6549-B45D-4313-9927-EFCCC8A3493F}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Client" = Microsoft Security Essentials
"Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23)
"OpticPro ST24" = OpticPro ST24
"PrimoPDF" = PrimoPDF -- brought to you by Nitro PDF Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.2
"WGA" = Windows Genuine Advantage Validation Tool
"WIC" = Windows Imaging Component
"Windows Media Connect" = Windows Media Connect
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"XXConsole" = XXConsole: Super Console Generator ver 0.96
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"pdfsam" = pdfsam
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 16.10.2011 11:05:00 | Computer Name = *** | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 8024402c, P2 endsearch, P3 search, P4 3.0.8402.0,
P5 mpsigdwn.dll, P6 3.0.8402.0, P7 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094),
P8 NIL, P9 NIL, P10 NIL.
Error - 17.10.2011 15:36:23 | Computer Name = *** | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 24.10.2011 18:32:05 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4280, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 29.10.2011 06:43:06 | Computer Name = *** | Source = MPSampleSubmission | ID = 5000
Description = EventType avsubmit, P1 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094),
P2 1.1.7801.0, P3 1.115.822.0, P4 1.115.822.0, P5 trojan_win32_fakesysdef, P6 NIL,
P7 NIL, P8 NIL, P9 NIL, P10 NIL.
Error - 29.10.2011 09:39:08 | Computer Name = *** | Source = MPSampleSubmission | ID = 5000
Description = EventType avsubmit, P1 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094),
P2 1.1.7801.0, P3 1.115.822.0, P4 1.115.822.0, P5 trojan_win32_fakesysdef, P6 NIL,
P7 NIL, P8 NIL, P9 NIL, P10 NIL.
Error - 29.10.2011 10:28:25 | Computer Name = *** | Source = MPSampleSubmission | ID = 5000
Description = EventType avsubmit, P1 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094),
P2 1.1.7801.0, P3 1.115.822.0, P4 1.115.822.0, P5 trojan_win32_fakesysdef, P6 NIL,
P7 NIL, P8 NIL, P9 NIL, P10 NIL.
Error - 29.10.2011 10:41:51 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul mshtml.dll, Version 6.0.2900.6148, Fehleradresse 0x000727db.
Error - 29.10.2011 10:42:10 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul mshtml.dll, Version 6.0.2900.6148, Fehleradresse 0x000727db.
Error - 29.10.2011 10:42:25 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul mshtml.dll, Version 6.0.2900.6148, Fehleradresse 0x000727db.
Error - 29.10.2011 10:42:49 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul mshtml.dll, Version 6.0.2900.6148, Fehleradresse 0x000727db.
[ System Events ]
Error - 12.10.2011 17:50:21 | Computer Name = *** | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.113.1445.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%854 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7702.0 Fehlercode:
0x80070643 Fehlerbeschreibung: Schwerwiegender Fehler bei der Installation.
Error - 14.10.2011 15:54:08 | Computer Name = *** | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.113.1445.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7702.0 Fehlercode:
0x8024402c Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
unter "Hilfe und Support".
Error - 16.10.2011 10:40:17 | Computer Name = *** | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.113.1701.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7702.0 Fehlercode:
0x8024402c Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
unter "Hilfe und Support".
Error - 16.10.2011 11:04:56 | Computer Name = *** | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.113.1701.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7702.0 Fehlercode:
0x8024402c Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
unter "Hilfe und Support".
Error - 20.10.2011 01:51:58 | Computer Name = *** | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 0014A5E9BF3B zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
Error - 21.10.2011 12:19:40 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse
0014A5E9BF3B wurde durch den DHCP-Server 195.130.129.45 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 23.10.2011 16:11:35 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.178.21 für die Netzwerkkarte mit der Netzwerkadresse
0014A5E9BF3B wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 28.10.2011 17:56:25 | Computer Name = *** | Source = DCOM | ID = 10010
Description = Der Server "{58FC39EB-9DBD-4EA7-B7B4-9404CC6ACFAB}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
Error - 29.10.2011 13:28:43 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2
Error - 29.10.2011 13:45:46 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AliIde PCIIde ViaIde
< End of report >
|
|
29.10.2011, 22:20
| #2 |
| | Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE ESETSmartInstaller@High as CAB hook log:
__________________OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=6.00.2900.5512 (xpsp.080413-2105) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=419fcfe364672d4f8ff108ade146c573 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-10-29 09:14:34 # local_time=2011-10-29 11:14:34 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=5891 16776869 42 87 7081 16791900 0 0 # compatibility_mode=8192 67108863 100 0 538 538 0 0 # scanned=73579 # found=2 # cleaned=0 # scan_time=5467 C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\5d0ad53c-69d1dd3b Java/Exploit.Agent.NAO trojan (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\ERRLV.exe probably a variant of Win32/PSW.OnLineGames.DPBUIIE trojan (unable to clean) 00000000000000000000000000000000 I |
|
30.10.2011, 05:52
| #3 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FEZitat:
Sowas hast du offensichtlich nicht. Besorg dir ein legales Windows. Dann folgst du dem Artikel zur Neuinstallation von Windows. ODER: Du nimmst ein freie Betriebssystemwie wie zB LinuxMint oder Ubuntu.
__________________ |
|
30.10.2011, 20:32
| #4 |
| | Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE Hallo Arne, danke für Deine Hilfe. Bin gerade sehr überrascht, dass hier kein legales Windows ist. Hab den PC von einer Freundin gekauft und muss sie jetzt erstmal anrufen, was sie da gemacht hat. Ich bin nicht davon ausgegangen, dass da irgendwas nicht in Ordnung ist. Ich kümmere mich darum und melde mich dann wieder. Wenn ich Windows neu installiere bzw. LinuxMint oder Ubuntu - sind alle meine gespeicherten Dateien dann weg?? Gruß Lea |
|
30.10.2011, 23:04
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE Ja die daten sind weg nach einer Formatierung. Deswegen musst du diese vorher sichern. Kannst du problem mit Ubuntu im Ausprobiermodus machen, einfach mal dem 2. Link in meiner Signature folgen und durchlesen.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
Linear-Darstellung
