|
Log-Analyse und Auswertung: trojaner w32 sheath cohors gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.11.2011, 20:50 | #1 |
| trojaner w32 sheath cohors gefunden Hallo Allerseits! Ich habe vor kurzem den alten Rechner eines Familienmitglieds übernommen. Gestern abend hat mein Virenprogramm mich auf oben genanntes file aufmerksam gemacht. Anti vir schlug mir Lösungen vor, die einen Neustart gemacht. Das habe ich ein, zwei mal gemacht, anscheindend ohne dass sich etwas veränderte. Ich hab mir ein anderes Virenprogramm runtergeladen (Clam AV, Immunet3.0) und mit dessen Hilfe die Datei w32 sheath cohors in Quarantäne verschoben. Im Netz bin ich nur auf diese (hxxp://portableapps.com/node/29855) Seite gestossen. Sagt mir ehrlich gesagt nicht viel. So bin ich hierher gekommen, um euch um Rat zu bitten. Logfiles: OTL: OTL logfile created on: 23.11.2011 20:05:34 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\xxxx\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,48 Mb Total Physical Memory | 115,14 Mb Available Physical Memory | 22,51% Memory free 1,22 Gb Paging File | 0,67 Gb Available in Paging File | 54,68% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 72,65 Gb Total Space | 48,33 Gb Free Space | 66,53% Space Free | Partition Type: FAT32 Drive D: | 73,43 Gb Total Space | 62,18 Gb Free Space | 84,67% Space Free | Partition Type: FAT32 Computer Name: xxxx | User Name: xxxx| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.11.23 20:03:20 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Acer\Desktop\OTL.exe PRC - [2011.11.22 07:14:14 | 002,637,600 | ---- | M] (Immunet) -- C:\Programme\Immunet\3.0.5\iptray.exe PRC - [2011.11.22 07:14:14 | 000,776,008 | ---- | M] (Sourcefire, Inc.) -- C:\Programme\Immunet\3.0.5\agent.exe PRC - [2011.11.10 16:48:08 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2011.10.11 15:00:04 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.10.11 14:59:50 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.10.11 14:59:38 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2011.10.11 14:59:38 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.03.23 13:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe PRC - [2010.03.22 16:40:24 | 000,009,728 | ---- | M] (Deutsche Telekom AG) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.06.01 14:23:46 | 000,442,368 | ---- | M] (Acer Inc.) -- C:\Programme\acer\Acer eConsole\MediaServerService.exe ========== Modules (No Company Name) ========== MOD - [2011.11.22 15:08:04 | 000,056,224 | ---- | M] () -- \\?\C:\Programme\Immunet\update\avxdisk.dll MOD - [2011.11.22 07:14:14 | 000,357,664 | ---- | M] () -- C:\Programme\Immunet\3.0.5\dhr.dll MOD - [2011.11.22 07:14:14 | 000,302,368 | ---- | M] () -- C:\Programme\Immunet\3.0.5\dsp.dll MOD - [2011.11.10 16:48:06 | 001,989,592 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll MOD - [2011.10.23 21:52:48 | 011,800,576 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\60df958ca96c9b8945f836759b6abd34\System.Web.ni.dll MOD - [2011.10.23 21:52:08 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\abef85f2fb8ba830eda73e2d12e8d41e\System.ServiceProcess.ni.dll MOD - [2011.10.23 21:46:50 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\bce0720436dc6cb76006377f295ea365\System.Configuration.ni.dll MOD - [2011.10.23 21:46:30 | 000,256,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\474a341340f687bcbd7777f2820a8c7a\SMDiagnostics.ni.dll MOD - [2011.10.23 21:46:02 | 017,403,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\ceadaf3b3d017c7a1ef10a06f8009f6f\System.ServiceModel.ni.dll MOD - [2011.10.23 21:44:30 | 002,345,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\afd6134c090faf8c29cd64d4835142b2\System.Runtime.Serialization.ni.dll MOD - [2011.10.23 21:44:08 | 001,070,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\d14065ede44df8e9b5d6b60c5ddccc69\System.IdentityModel.ni.dll MOD - [2011.10.23 19:27:34 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\70cacc44f0b4257f6037eda7a59a0aeb\System.Xml.ni.dll MOD - [2011.10.23 19:17:22 | 007,950,848 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\af39f6e644af02873b9bae319f2bfb13\System.ni.dll MOD - [2011.10.23 19:16:38 | 011,490,816 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\ca87ba84221991839abbe7d4bc9c6721\mscorlib.ni.dll MOD - [2011.10.11 14:59:52 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2010.03.23 13:26:48 | 000,201,512 | ---- | M] () -- C:\WINDOWS\system32\vpnapi.dll MOD - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe MOD - [2009.01.11 18:54:06 | 000,040,960 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll MOD - [2008.03.25 06:50:40 | 000,355,112 | ---- | M] () -- C:\WINDOWS\system32\msjetoledb40.dll MOD - [2006.05.21 13:51:32 | 000,043,520 | ---- | M] () -- C:\WINDOWS\system32\CmdLineExt03.dll MOD - [2005.06.01 14:21:08 | 000,151,552 | ---- | M] () -- C:\Programme\acer\Acer eConsole\MediaUtil.dll MOD - [2005.06.01 14:19:42 | 000,737,280 | ---- | M] () -- C:\Programme\acer\Acer eConsole\log4cxx.dll MOD - [2001.07.31 11:17:12 | 000,094,274 | ---- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) EXTRAS: OTL Extras logfile created on: 23.11.2011 20:05:34 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Acer\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,48 Mb Total Physical Memory | 115,14 Mb Available Physical Memory | 22,51% Memory free 1,22 Gb Paging File | 0,67 Gb Available in Paging File | 54,68% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 72,65 Gb Total Space | 48,33 Gb Free Space | 66,53% Space Free | Partition Type: FAT32 Drive D: | 73,43 Gb Total Space | 62,18 Gb Free Space | 84,67% Space Free | Partition Type: FAT32 Computer Name: xxxxx | User Name: xxxx| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* http [open] -- Reg Error: Key error. https [open] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] "DisableMonitoring" = 1 gmer: GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-11-23 20:31:38 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12 WDC_WD1600BB-22GUC0 rev.08.02D08 Running: l2tzfpex.exe; Driver: C:\DOKUME~1\xxxx\LOKALE~1\Temp\axkcyfob.sys ---- System - GMER 1.0.15 ---- SSDT F83C9F1C ZwClose SSDT F83C9ED6 ZwCreateKey SSDT F83C9F26 ZwCreateSection SSDT F83C9ECC ZwCreateThread SSDT F83C9EDB ZwDeleteKey SSDT F83C9EE5 ZwDeleteValueKey SSDT F83C9F17 ZwDuplicateObject SSDT F83C9EEA ZwLoadKey SSDT \SystemRoot\system32\DRIVERS\ImmunetSelfProtect.sys (Immunet Self Protect Driver/Windows (R) Win 7 DDK provider) ZwOpenKey [0xF8975C6C] SSDT F83C9EB8 ZwOpenProcess SSDT F83C9EBD ZwOpenThread SSDT F83C9F3F ZwQueryValueKey SSDT F83C9EF4 ZwReplaceKey SSDT F83C9F30 ZwRequestWaitReplyPort SSDT F83C9EEF ZwRestoreKey SSDT F83C9F2B ZwSetContextThread SSDT F83C9F35 ZwSetSecurityObject SSDT F83C9EE0 ZwSetValueKey SSDT F83C9F3A ZwSystemDebugControl SSDT F83C9EC7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 250C 80501D44 4 Bytes [EA, 9E, 3C, F8] ---- Devices - GMER 1.0.15 ---- Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device Fastfat.sys (Fast FAT File System Driver/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x1F 0x09 0x7C ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5A 0xE1 0x61 0xB5 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x2C 0x6A 0x13 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x1F 0x09 0x7C ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5A 0xE1 0x61 0xB5 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x2C 0x6A 0x13 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x1F 0x09 0x7C ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5A 0xE1 0x61 0xB5 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x2C 0x6A 0x13 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x1F 0x09 0x7C ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5A 0xE1 0x61 0xB5 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x2C 0x6A 0x13 ... ---- EOF - GMER 1.0.15 ---- Ich hoffe, ihr könnt mir ein wenig helfen Schon mal vielen Dank + viele Grüße, die Post! |
24.11.2011, 20:25 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | trojaner w32 sheath cohors gefundenZitat:
__________________ |
25.11.2011, 16:07 | #3 |
| trojaner w32 sheath cohors gefunden okay,
__________________immunet File Name A0230051.dll Event Type Quarantine succesful Detection Name W32.Sheath.cohors.sept.2BC8BF File Path C:\ System Volume Information\_restore9{DF46C33-6EFC-4C04-8812-88746C783574}\RP718}\A0230051.dll Reicht das? AUf die Antivir Meldung kann ich nämlich leider nicht mehr zugreifen. Der PC läuft derzeit auch mehr schlecht als recht, soll heißen seine Reaktionszeit ist ziemlich ausgedehnt. Wie kann ich jetzt weiter vorgehen? Viele Grüße! |
25.11.2011, 16:12 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | trojaner w32 sheath cohors gefunden Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
25.11.2011, 17:46 | #5 |
| trojaner w32 sheath cohors gefunden So fürs erste Malwarebytes: Malwarebytes' Anti-Malware 1.51.2.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 8238 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 25.11.2011 17:42:37 mbam-log-2011-11-25 (17-42-37).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 211160 Laufzeit: 1 Stunde(n), 14 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Schmidt-Pro (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\mfc22.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\win1.bat (Trojan.BAT.DriveBy) -> Quarantined and deleted successfully. c:\WINDOWS\windows1.bat (Malware.Trace) -> Quarantined and deleted successfully. Unterdessen hat Immunet eine neue Warnung rausgegeben: Threat Quarantined: 00000005-AC3FB70D-av has benn detected as W32.sheath.cohors.sep.2BC8Bf Quarantine was successful nach einem neustart führe ich den eset scanner aus |
25.11.2011, 18:02 | #6 |
| trojaner w32 sheath cohors gefunden Nach Neustart zeigt Malwarebytes folgende meldung ab: [shell notify icon] die gewünschte aktion ist fehlgeschlagen. fehlermeldung: 0 |
25.11.2011, 23:56 | #7 |
| trojaner w32 sheath cohors gefunden Hat alles geklappt Siehe: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=9841cd7b4c740d4183955d63e0d0f907 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-11-25 10:53:04 # local_time=2011-11-25 11:53:04 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 2847163 2847163 0 0 # compatibility_mode=8192 67108863 100 0 3769 3769 0 0 # scanned=147525 # found=2 # cleaned=0 # scan_time=20717 C:\System Volume Information\_restore{9DF46C33-6EFC-4C04-8812-88746C783574}\RP727\A0233346.exe a variant of Win32/InstallCore.D application (unable to clean) 00000000000000000000000000000000 I C:\System Volume Information\_restore{9DF46C33-6EFC-4C04-8812-88746C783574}\RP730\A0233583.BAT Win32/Agent.CWS trojan (unable to clean) 00000000000000000000000000000000 I |
26.11.2011, 13:53 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | trojaner w32 sheath cohors gefunden CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2011, 21:03 | #9 |
| trojaner w32 sheath cohors gefunden [2008.09.05 13:20:08 | 019,900,192 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr710_en_US.exeOTL Logfile: Code:
ATTFilter OTL logfile created on: 26.11.2011 20:29:54 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\...\Desktop\trojanerremovalaction Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,48 Mb Total Physical Memory | 84,70 Mb Available Physical Memory | 16,56% Memory free 1,22 Gb Paging File | 0,48 Gb Available in Paging File | 39,66% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 72,65 Gb Total Space | 47,61 Gb Free Space | 65,53% Space Free | Partition Type: FAT32 Drive D: | 73,43 Gb Total Space | 62,18 Gb Free Space | 84,67% Space Free | Partition Type: FAT32 Computer Name: | User Name: ....| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.11.23 20:03:20 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\....\Desktop\trojanerremovalaction\OTL.exe PRC - [2011.11.22 07:14:14 | 002,637,600 | ---- | M] (Immunet) -- C:\Programme\Immunet\3.0.5\iptray.exe PRC - [2011.11.22 07:14:14 | 000,776,008 | ---- | M] (Sourcefire, Inc.) -- C:\Programme\Immunet\3.0.5\agent.exe PRC - [2011.11.10 16:48:08 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2011.10.11 15:00:04 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.10.11 14:59:50 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.10.11 14:59:38 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2011.10.11 14:59:38 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2010.03.23 13:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe PRC - [2010.03.22 16:40:24 | 000,009,728 | ---- | M] (Deutsche Telekom AG) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.06.01 14:23:46 | 000,442,368 | ---- | M] (Acer Inc.) -- C:\Programme\....\Acer eConsole\MediaServerService.exe ========== Modules (No Company Name) ========== MOD - [2011.11.22 15:08:04 | 000,056,224 | ---- | M] () -- \\?\C:\Programme\Immunet\update\avxdisk.dll MOD - [2011.11.22 07:14:14 | 000,357,664 | ---- | M] () -- C:\Programme\Immunet\3.0.5\dhr.dll MOD - [2011.11.22 07:14:14 | 000,302,368 | ---- | M] () -- C:\Programme\Immunet\3.0.5\dsp.dll MOD - [2011.11.10 16:48:06 | 001,989,592 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll MOD - [2011.10.23 21:52:48 | 011,800,576 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\60df958ca96c9b8945f836759b6abd34\System.Web.ni.dll MOD - [2011.10.23 21:52:08 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\abef85f2fb8ba830eda73e2d12e8d41e\System.ServiceProcess.ni.dll MOD - [2011.10.23 21:46:50 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\bce0720436dc6cb76006377f295ea365\System.Configuration.ni.dll MOD - [2011.10.23 21:46:30 | 000,256,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\474a341340f687bcbd7777f2820a8c7a\SMDiagnostics.ni.dll MOD - [2011.10.23 21:46:02 | 017,403,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\ceadaf3b3d017c7a1ef10a06f8009f6f\System.ServiceModel.ni.dll MOD - [2011.10.23 21:44:30 | 002,345,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\afd6134c090faf8c29cd64d4835142b2\System.Runtime.Serialization.ni.dll MOD - [2011.10.23 21:44:08 | 001,070,080 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\d14065ede44df8e9b5d6b60c5ddccc69\System.IdentityModel.ni.dll MOD - [2011.10.23 19:27:34 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\70cacc44f0b4257f6037eda7a59a0aeb\System.Xml.ni.dll MOD - [2011.10.23 19:17:22 | 007,950,848 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\af39f6e644af02873b9bae319f2bfb13\System.ni.dll MOD - [2011.10.23 19:16:38 | 011,490,816 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\ca87ba84221991839abbe7d4bc9c6721\mscorlib.ni.dll MOD - [2011.10.11 14:59:52 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2010.03.23 13:26:48 | 000,201,512 | ---- | M] () -- C:\WINDOWS\system32\vpnapi.dll MOD - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe MOD - [2009.01.11 18:54:06 | 000,040,960 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll MOD - [2008.03.25 06:50:40 | 000,355,112 | ---- | M] () -- C:\WINDOWS\system32\msjetoledb40.dll MOD - [2005.06.01 14:21:08 | 000,151,552 | ---- | M] () -- C:\Programme\acer\Acer eConsole\MediaUtil.dll MOD - [2005.06.01 14:19:42 | 000,737,280 | ---- | M] () -- C:\Programme\acer\Acer eConsole\log4cxx.dll MOD - [2001.07.31 11:17:12 | 000,094,274 | ---- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - File not found [Auto | Stopped] -- -- (AcrSch2Svc) SRV - [2011.11.22 07:14:18 | 000,327,680 | ---- | M] (S.C. BitDefender S.R.L) [On_Demand | Stopped] -- C:\Programme\Immunet\tetra\scan.dll -- (scan) SRV - [2011.11.22 07:14:14 | 000,776,008 | ---- | M] (Sourcefire, Inc.) [Auto | Running] -- C:\Programme\Immunet\3.0.5\agent.exe -- (ImmunetProtect) SRV - [2011.10.11 14:59:50 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.10.11 14:59:38 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2010.04.22 18:48:06 | 000,435,016 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe -- (TuneUp.Defrag) SRV - [2010.04.01 15:14:54 | 001,050,440 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc) SRV - [2010.04.01 15:11:26 | 000,030,024 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp) SRV - [2010.03.23 13:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND) SRV - [2010.03.22 16:40:24 | 000,009,728 | ---- | M] (Deutsche Telekom AG) [Auto | Running] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service) SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2005.11.24 17:03:22 | 000,053,337 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe -- (MSCSPTISRV) SRV - [2005.11.24 16:57:44 | 000,053,337 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR) SRV - [2005.11.24 16:47:30 | 000,069,718 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe -- (SPTISRV) SRV - [2005.06.01 14:23:46 | 000,442,368 | ---- | M] (Acer Inc.) [Auto | Running] -- C:\Programme\acer\Acer eConsole\MediaServerService.exe -- (Acer Media Server) SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2002.08.01 10:22:40 | 000,065,536 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\hpzipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - [2011.11.22 07:14:16 | 000,304,712 | ---- | M] (BitDefender S.R.L.) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Trufos.sys -- (Trufos) DRV - [2011.11.22 07:14:16 | 000,050,976 | ---- | M] (Windows (R) Win 7 DDK provider) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\ImmunetProtect.sys -- (ImmunetProtectDriver) DRV - [2011.11.22 07:14:16 | 000,034,080 | ---- | M] (Windows (R) Win 7 DDK provider) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\ImmunetSelfProtect.sys -- (ImmunetSelfProtectDriver) DRV - [2011.10.11 15:00:02 | 000,134,344 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.10.11 15:00:02 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.10.11 15:00:02 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.06.17 15:14:28 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.03.23 13:15:36 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2010.02.24 14:41:50 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Stopped] -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.09.21 09:33:06 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk) DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE) DRV - [2008.04.13 20:53:10 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm) DRV - [2007.11.14 19:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA) DRV - [2006.10.09 14:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX) DRV - [2006.07.30 13:36:48 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - [2006.07.29 21:09:26 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - [2006.06.17 22:54:40 | 000,010,344 | ---- | M] (Symantec Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\symlcbrd.sys -- (symlcbrd) DRV - [2005.06.08 08:31:30 | 002,319,680 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2005.03.23 20:00:58 | 001,034,752 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2005.03.04 11:10:26 | 000,074,496 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp) DRV - [2005.02.23 14:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc) DRV - [2005.01.13 14:46:16 | 000,069,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Programme\acer\eRecovery\int15.sys -- (int15.sys) DRV - [2004.08.23 13:55:54 | 000,029,440 | ---- | M] (Siemens AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\actser.sys -- (actser) DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) DRV - [2004.04.13 15:48:32 | 001,266,380 | ---- | M] (Agere Systems) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2003.07.02 04:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys -- (viaagp1) DRV - [2003.05.07 18:07:58 | 000,041,472 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/home IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://go.web.de/tab2 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://go.web.de/tab2 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.web.de/home IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>;etp ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.forestle.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.660: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.08.05 20:39:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Firefox [2011.10.25 12:27:00 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.23 18:47:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.03.27 15:20:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla\Extensions [2009.03.27 15:20:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla\Firefox\Profiles\rrsszgkh.default\extensions [2010.04.28 14:49:28 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla\Firefox\Profiles\rrsszgkh.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.03.27 16:27:12 | 000,002,314 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla\Firefox\Profiles\rrsszgkh.default\searchplugins\forestle-de.xml [2011.10.23 18:47:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ACER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\RRSSZGKH.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2011.11.10 16:48:08 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.09.29 03:24:38 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.09.29 03:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.09.29 03:24:38 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.09.29 03:24:38 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.09.29 03:24:38 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.09.29 03:24:38 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms} CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\14.0.835.163\gcswf32.dll CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll CHR - plugin: Java(TM) Platform SE 6 U16 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll CHR - plugin: Java Deployment Toolkit 6.0.160.1 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprpjplug.dll CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit) (Enabled) = C:\Programme\Mozilla Firefox\plugins\nppl3260.dll CHR - plugin: RealNetworks(tm) RealPlayer Chrome Background Extension Plug-In (32-bit) (Enabled) = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll CHR - plugin: RealPlayer(tm) HTML5VideoShim Plug-In (32-bit) (Enabled) = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll CHR - plugin: Chrome NaCl (Enabled) = C:\Programme\Google\Chrome\Application\14.0.835.163\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\14.0.835.163\pdf.dll CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprjplug.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Picasa (Enabled) = C:\Programme\Google\Picasa3\npPicasa3.dll CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - plugin: Default Plug-in (Enabled) = default_plugin CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.5_0\ O1 HOSTS File: ([2010.08.17 19:30:28 | 000,380,722 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 13114 more lines... O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKLM\..\Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - No CLSID value found. O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Immunet Protect] C:\Programme\Immunet\3.0.5\iptray.exe (Immunet) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Acer\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = -1 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html File not found O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html File not found O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html File not found O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html File not found O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_16.dll (Sun Microsystems, Inc.) O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe File not found O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} https://sphinx.zdf.de/Sphinx5/Script/ActiveX/smsx.cab (MeadCo ScriptX) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{99E09B21-8A3C-4C24-893E-41DC0621B822}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{1d397944-1f36-11db-8d46-000fea356796}\Shell - "" = AutoRun O33 - MountPoints2\{1d397944-1f36-11db-8d46-000fea356796}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{1d397944-1f36-11db-8d46-000fea356796}\Shell\AutoRun\command - "" = J:\YDKJAutorun.exe O33 - MountPoints2\{6e762bba-3cea-11df-93a0-000fea356796}\Shell - "" = AutoRun O33 - MountPoints2\{6e762bba-3cea-11df-93a0-000fea356796}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{6e762bba-3cea-11df-93a0-000fea356796}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a O33 - MountPoints2\{aa117e1a-d87e-11df-94e7-000fea356796}\Shell - "" = AutoRun O33 - MountPoints2\{aa117e1a-d87e-11df-94e7-000fea356796}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{aa117e1a-d87e-11df-94e7-000fea356796}\Shell\AutoRun\command - "" = F:\preinst.exe O33 - MountPoints2\{cd5c09a8-73f6-11e0-95fc-000fea356796}\Shell - "" = AutoRun O33 - MountPoints2\{cd5c09a8-73f6-11e0-95fc-000fea356796}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{cd5c09a8-73f6-11e0-95fc-000fea356796}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) NetSvcs: WmdmPmSp - File not found MsConfig - StartUpReg: AGRSMMSG - hkey= - key= - C:\WINDOWS\AGRSMMSG.exe (Agere Systems) MsConfig - StartUpReg: avgnt - hkey= - key= - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) MsConfig - StartUpReg: LaunchApp - hkey= - key= - C:\WINDOWS\Alaunch.exe (Acer Inc.) MsConfig - StartUpReg: PHIME2002A - hkey= - key= - File not found MsConfig - StartUpReg: PHIME2002ASync - hkey= - key= - File not found MsConfig - StartUpReg: SoundMan - hkey= - key= - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 SafeBootMin: AppMgmt - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: nm - C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) SafeBootNet: nm.sys - C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {222FB945-258A-4734-84EA-99E5B4EF4E00} - WEB.DE Browser Add-on ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.Install.PerUser ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - Fax Provider ActiveX: {A477E148-6951-4E85-BB46-32845F242F0F} - WEB.DE Update ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {EFCE7BE0-510E-4932-9475-F44CD90DE16A} - Microsoft .NET Framework 1.1 Security Update (KB2572067) ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: VIDC.WMV3 - C:\WINDOWS\System32\wmv9vcm.dll (Microsoft Corporation) Drivers32: wave1 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.11.25 19:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Desktop\trojanerremovalaction [2011.11.25 18:05:01 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2011.11.25 16:22:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Malwarebytes [2011.11.25 16:20:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.11.25 16:20:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.11.25 16:16:49 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.11.25 16:16:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.11.24 00:45:36 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Acer\Recent [2011.11.23 14:04:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Eigene Dateien\PersBackup [2011.11.23 14:04:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PersBackup5 [2011.11.23 13:57:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Personal Backup [2011.11.23 13:57:09 | 000,000,000 | ---D | C] -- C:\Programme\Personal Backup 5 [2011.11.22 07:15:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Immunet [2011.11.22 07:15:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Immunet [2011.11.22 07:15:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Immunet 3.0 [2011.11.22 07:14:34 | 000,034,080 | ---- | C] (Windows (R) Win 7 DDK provider) -- C:\WINDOWS\System32\drivers\ImmunetSelfProtect.sys [2011.11.22 07:14:31 | 000,050,976 | ---- | C] (Windows (R) Win 7 DDK provider) -- C:\WINDOWS\System32\drivers\ImmunetProtect.sys [2011.11.22 07:14:18 | 000,304,712 | ---- | C] (BitDefender S.R.L.) -- C:\WINDOWS\System32\drivers\Trufos.sys [2011.11.22 07:14:11 | 000,000,000 | ---D | C] -- C:\Programme\Immunet [2011.11.15 18:44:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Desktop\Musik-Hörspiele-Serien [2011.11.15 17:17:23 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP [2011.11.15 17:15:22 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Acer\Eigene Dateien\Dropbox [2011.11.15 17:13:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Startmenü\Programme\Dropbox [2011.11.15 17:13:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox [2011.11.10 21:37:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Desktop\bon iver [2011.11.01 13:50:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\vlc [2011.11.01 13:50:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoLAN [2011.11.01 13:49:19 | 000,000,000 | ---D | C] -- C:\Programme\VideoLAN [2011.10.30 16:05:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Desktop\Musik Hannes an die Liebe [2011.10.28 15:13:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Eigene Dateien\Studisprecher Dokumente [2011.10.28 10:55:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\foobar2000 [2011.10.28 10:54:51 | 000,000,000 | ---D | C] -- C:\Programme\foobar2000 [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.11.26 20:05:16 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011.11.26 20:05:16 | 000,000,268 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1724531826-3507307172-1589305608-1006.job [2011.11.26 20:05:08 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.11.26 20:05:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.11.26 20:05:04 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys [2011.11.25 23:49:02 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011.11.23 15:54:08 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\defogger_reenable [2011.11.22 07:14:16 | 000,304,712 | ---- | M] (BitDefender S.R.L.) -- C:\WINDOWS\System32\drivers\Trufos.sys [2011.11.22 07:14:16 | 000,050,976 | ---- | M] (Windows (R) Win 7 DDK provider) -- C:\WINDOWS\System32\drivers\ImmunetProtect.sys [2011.11.22 07:14:16 | 000,034,080 | ---- | M] (Windows (R) Win 7 DDK provider) -- C:\WINDOWS\System32\drivers\ImmunetSelfProtect.sys [2011.11.15 17:17:28 | 000,001,484 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2011.11.15 17:15:24 | 000,000,889 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Desktop\Dropbox.lnk [2011.11.15 17:14:12 | 000,000,889 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Startmenü\Programme\Autostart\Dropbox.lnk [2011.11.13 15:13:50 | 008,047,470 | R--- | M] () -- C:\Dokumente und Einstellungen\Acer\Eigene Dateien\Vorlesung soziale Ungleichheit.pdf [2011.11.13 15:10:08 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Desktop\Microsoft Office Word 2003.lnk [2011.11.10 20:02:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1724531826-3507307172-1589305608-1006.job [2011.11.09 14:36:50 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.11.01 13:50:06 | 000,000,599 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2011.11.01 13:47:28 | 001,507,896 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Desktop\IMG_0899.MOV [2011.11.01 12:14:46 | 000,000,470 | ---- | M] () -- C:\Dokumente und Einstellungen\Acer\Desktop\mainz wiesbaden vergleich.htm [2011.10.30 12:42:36 | 000,461,232 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.10.28 10:54:56 | 000,000,586 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\foobar2000.lnk [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.11.23 15:53:51 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\defogger_reenable [2011.11.15 17:17:27 | 000,001,484 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2011.11.15 17:17:26 | 000,001,428 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP.lnk [2011.11.15 17:17:25 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2011.11.15 17:15:22 | 000,000,889 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Desktop\Dropbox.lnk [2011.11.15 17:14:11 | 000,000,889 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Startmenü\Programme\Autostart\Dropbox.lnk [2011.11.13 15:14:18 | 008,047,470 | R--- | C] () -- C:\Dokumente und Einstellungen\Acer\Eigene Dateien\Vorlesung soziale Ungleichheit.pdf [2011.11.09 14:36:48 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK [2011.11.01 13:50:04 | 000,000,599 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2011.11.01 13:47:29 | 001,507,896 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Desktop\IMG_0899.MOV [2011.11.01 12:14:42 | 000,000,470 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Desktop\mainz wiesbaden vergleich.htm [2011.10.28 10:54:55 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\foobar2000.lnk [2011.10.28 10:54:54 | 000,000,586 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\foobar2000.lnk [2010.10.04 18:14:44 | 000,221,096 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.03.23 13:26:48 | 000,201,512 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll [2010.03.23 13:17:40 | 000,197,416 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll [2010.03.10 08:39:32 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll [2010.03.10 08:39:32 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys [2010.03.10 08:39:25 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\$_hpcst$.hpc [2010.02.28 13:37:44 | 000,000,284 | ---- | C] () -- C:\WINDOWS\wininit.ini [2009.08.21 16:58:40 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\AitVirtualComInstall.exe [2009.07.20 20:10:48 | 000,307,200 | ---- | C] () -- C:\WINDOWS\System32\InstallVCOM.exe [2009.03.27 15:22:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.02.01 12:10:43 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI [2008.09.03 20:40:04 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2008.02.20 19:29:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI [2008.02.20 19:00:41 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS61.DLL [2007.12.09 16:56:37 | 000,000,068 | ---- | C] () -- C:\WINDOWS\telephon.ini [2007.12.08 16:16:33 | 000,003,999 | ---- | C] () -- C:\WINDOWS\hpdj6500.ini [2007.12.03 11:30:04 | 000,025,399 | ---- | C] () -- C:\WINDOWS\CSTBox.INI [2007.12.02 17:37:46 | 000,000,509 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI [2007.09.27 19:31:22 | 000,000,783 | ---- | C] () -- C:\WINDOWS\NTIWVEDT.INI [2007.08.26 17:50:41 | 000,001,849 | ---- | C] () -- C:\WINDOWS\CDPLAYER.INI [2007.04.27 19:04:56 | 000,000,431 | ---- | C] () -- C:\WINDOWS\Jcmkr32.INI [2007.03.24 15:52:13 | 000,003,214 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.02.06 21:50:32 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2007.02.06 21:15:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2007.01.17 20:32:00 | 005,043,712 | ---- | C] () -- C:\Programme\SymADataWeb.msi [2006.08.18 11:46:35 | 000,000,182 | ---- | C] () -- C:\WINDOWS\System32\EBPPORT4.DAT [2006.08.18 11:43:57 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDEC66SeriesEuro.ini [2006.08.01 19:11:45 | 000,000,531 | ---- | C] () -- C:\WINDOWS\eReg.dat [2006.07.30 12:03:56 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2006.07.29 12:55:47 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini [2006.05.21 13:51:31 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2006.03.25 22:59:08 | 000,000,040 | ---- | C] () -- C:\WINDOWS\iltwain.ini [2006.03.05 18:59:38 | 000,000,042 | ---- | C] () -- C:\WINDOWS\KA.INI [2006.03.01 19:35:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MSDraw.ini [2006.02.26 15:48:03 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2006.02.03 20:01:08 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\setupnt.dll [2006.02.03 19:34:31 | 000,045,682 | ---- | C] () -- C:\WINDOWS\System32\Autorun.ini [2006.02.03 19:16:55 | 000,017,538 | ---- | C] () -- C:\WINDOWS\hplj1010.ini [2006.02.03 19:16:29 | 000,000,375 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini [2006.02.03 19:16:26 | 000,001,032 | ---- | C] () -- C:\WINDOWS\hpbvnstp.ini [2006.02.03 19:16:22 | 000,196,608 | R--- | C] () -- C:\WINDOWS\System32\hpbvnstp.dll [2006.02.03 19:16:22 | 000,000,212 | R--- | C] () -- C:\WINDOWS\System32\hpbvnstp.dat [2006.02.03 18:36:27 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.02.02 17:18:42 | 000,003,114 | ---- | C] () -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\wklnhst.dat [2006.01.13 08:44:00 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2006.01.13 07:50:45 | 000,005,968 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2005.11.14 09:21:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\eRLog.ini [2005.10.28 19:32:17 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2005.10.22 07:38:52 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll [2005.10.22 07:38:03 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll [2005.10.22 07:38:03 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll [2005.10.22 07:38:03 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll [2005.10.22 07:38:03 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll [2005.10.22 07:34:05 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini [2005.10.22 07:34:02 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2005.10.22 07:34:02 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2005.10.22 07:29:22 | 000,032,768 | ---- | C] () -- C:\WINDOWS\AMove.exe [2005.10.22 07:29:22 | 000,008,073 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.10.22 07:28:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2005.10.22 07:23:57 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2005.10.22 07:23:00 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2005.10.22 07:19:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005.10.22 07:18:51 | 000,461,232 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2005.10.22 07:13:37 | 000,460,756 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2005.10.22 07:13:37 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2005.10.22 07:13:37 | 000,085,620 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2005.10.22 07:13:37 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2005.10.22 07:13:27 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2005.10.22 07:13:26 | 000,442,888 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2005.10.22 07:13:26 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2005.10.22 07:13:26 | 000,072,154 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2005.10.22 07:13:26 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2005.10.22 07:13:25 | 000,004,524 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2005.10.22 07:13:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2005.10.22 07:13:24 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2005.10.22 07:13:21 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2005.10.22 07:13:21 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2005.10.22 07:13:16 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2005.10.22 07:12:15 | 000,081,342 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2003.08.29 10:22:35 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2001.12.26 16:12:30 | 000,065,536 | R--- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll [2001.09.03 23:46:38 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Hmpg12.dll [2001.07.30 16:33:56 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll [2001.07.23 22:04:36 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll [1980.01.01 00:00:00 | 000,000,083 | ---- | C] () -- C:\WINDOWS\ALaunch.ini ========== LOP Check ========== [2006.02.03 17:16:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online [2006.02.21 10:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eConsole [2007.07.19 18:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NtiDvdCopy [2007.12.02 17:37:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir [2007.12.02 17:37:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard [2008.03.27 17:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2008.08.18 17:03:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2008.10.07 12:07:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} [2009.01.18 20:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vokabeltrainer 3 [2009.02.01 16:39:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2009.02.01 16:42:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2009.04.17 20:27:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCSettings [2009.04.17 20:35:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7B6BA59A-FB0E-4499-8536-A7420338BF3B} [2009.12.18 14:20:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1 [2010.01.16 11:15:56 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.01.16 11:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2010.02.11 18:15:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.08.05 18:58:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} [2010.08.05 18:58:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2011.04.04 18:21:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2011.08.29 11:54:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2011.10.25 12:23:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software [2011.10.26 16:17:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gibraltar [2006.02.02 17:18:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Template [2006.02.03 17:16:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\T-Online [2006.02.03 20:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Acronis [2006.03.05 13:09:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Primtext [2006.03.14 22:15:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Arbeitsblatt Profi [2006.07.11 15:28:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ICQ [2007.02.06 21:19:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\MULTITEXT [2007.06.21 06:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Leadertech [2007.12.02 17:37:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ScanSoft [2007.12.02 21:06:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Canon [2008.06.08 18:20:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\CoSoSys [2008.12.12 20:09:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\.pknowledge [2009.02.01 16:41:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC Suite [2009.02.01 16:42:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Nokia [2009.03.27 16:28:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Miranda [2009.12.22 12:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Amazon [2010.01.16 11:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\TuneUp Software [2010.01.16 21:18:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Foxit [2010.01.26 15:23:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\OpenOffice.org [2010.03.10 08:39:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Samsung [2010.06.04 11:10:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Meditech [2010.08.27 08:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Foxit Software [2011.04.04 18:21:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Canneverbe Limited [2011.10.25 14:27:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Swiss Academic Software [2011.10.28 10:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\foobar2000 [2011.11.15 17:13:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox [2011.11.22 07:15:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Immunet [2011.11.23 14:04:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PersBackup5 ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2005.10.22 07:33:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Identities [2005.10.22 07:41:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Symantec [2005.10.22 07:19:02 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Microsoft [2006.02.02 16:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\CyberLink [2006.02.02 17:18:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Template [2006.02.03 16:45:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Macromedia [2006.02.03 17:16:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\T-Online [2006.02.03 19:54:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Adobe [2006.02.03 19:55:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\AdobeUM [2006.02.03 20:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Acronis [2006.03.05 13:09:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Primtext [2006.03.14 22:15:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Arbeitsblatt Profi [2006.03.25 23:00:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Help [2006.07.11 15:28:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ICQ [2006.07.25 19:00:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ArcSoft [2006.10.18 20:00:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Apple Computer [2006.11.14 19:18:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Google [2007.01.17 20:45:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Sun [2007.02.06 21:19:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\MULTITEXT [2007.04.28 12:27:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Sony Corporation [2007.06.21 06:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\AdobeAUM [2007.06.21 06:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Leadertech [2007.12.02 17:37:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\ScanSoft [2007.12.02 21:06:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Canon [2008.06.08 18:20:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\CoSoSys [2008.12.12 20:09:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla [2008.12.12 20:09:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\.pknowledge [2009.02.01 16:41:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC Suite [2009.02.01 16:42:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Nokia [2009.03.21 14:30:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Real [2009.03.27 16:28:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Miranda [2009.12.22 12:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Amazon [2010.01.16 11:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\TuneUp Software [2010.01.16 21:18:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Foxit [2010.01.26 15:23:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\OpenOffice.org [2010.03.10 08:39:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Samsung [2010.06.04 11:10:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Meditech [2010.08.27 08:24:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Foxit Software [2011.04.04 18:21:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Canneverbe Limited [2011.10.23 19:18:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Avira [2011.10.25 14:27:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Swiss Academic Software [2011.10.28 10:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\foobar2000 [2011.11.01 13:50:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\vlc [2011.11.15 17:13:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox [2011.11.22 07:15:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Immunet [2011.11.23 14:04:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PersBackup5 [2011.11.25 16:22:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Malwarebytes < %APPDATA%\*.exe /s > [2006.11.03 08:03:04 | 008,386,432 | ---- | M] (Adobe Systems Inc ) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdrUpd708_all_incr.exe [2008.09.05 13:20:08 | 019,900,192 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr710_en_US.exe [2011.10.31 22:26:06 | 024,241,928 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011.10.31 22:26:10 | 000,174,752 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Dropbox\bin\Uninstall.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 05:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.09.03 20:39:10 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 05:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.09.03 20:39:10 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 04:22:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 04:22:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 04:22:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 04:22:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 05:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 05:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2005.10.22 07:18:26 | 000,434,176 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav [2005.10.22 07:18:26 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2005.10.22 07:18:26 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [5 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < > < End of report > |
Themen zu trojaner w32 sheath cohors gefunden |
acer, antivir, avg, avira, cdburnerxp, einstellungen, error, explorer, file, firefox, format, harddisk, home, microsoft, mozilla, neustart, opera, programm, registry, rundll, scan, security, shell32.dll, software, temp, trojaner |