| |
| |||||||
Log-Analyse und Auswertung: ukash/BKA - VirusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.12.2011, 00:23
| #1 |
 |  ukash/BKA - Virus Hallo, vielen Dank erst einmal, dass es so Menschen wie Euch gibt. Ich habe mir heute wohl einen Virus eingefangen. Auf jeden Fall bin ich im Internet gewesen und habe mir dabei wohl (über Java ? - war leider aktiviert, browse normalerweise ohne Java) einen Virus (mahud.exe?) eingefangen. Auf jeden Fall kam plötzlich eine Meldung mit BKA und irgendwelchen illegalen Internetinhalten, die ich angeblich angesurft habe und dass ich Geld zahlen soll (da ich im Augenblick im abgesicherten Modus mit Netzwerktreibern) arbeite, kann ich die Meldung nur so ungefähr aus dem Gedächtnis heraus zitieren. Da sich nicht einmal mehr der Taskmanager mit Ctrl+Alt+Del öffnen ließ habe ich den Computer erst einmal herunter gefahren und neu im abgesicherten Modus (ohne Netzwerktreiber) gestartet und AntiVir laufen lassen. Von den 32 gefundenen infizierten Dateien (s. Dateianhang "avscan") habe ich 31 in Quarantäne geschoben (die Datei, die ich nicht in Quarantäne geschoben habe (idleback.exe) benutze ich schon Jahre lang ohne irgendwelche Probleme.). Ich hatte gehofft, dass das Problem nun behoben sei, und habe den Computer normal gestartet. Leider war dies aber nicht der Fall. Ich habe, da ich die Programme sowieso auf dem Computer hatte dann zur Sicherheit noch Spybot Search & Destroy (kein Fund) sowie Microworld eScan / Anti Virus & Spyware Utility (allerdings in einer älteren Version 11.0.48 - Log s. Dateianhang "MWAV") laufen lassen und bin dadurch darauf gekommen, dass das Problem wohl die Mahmud.exe ist, die ich allerdings mit diesem Programmversion nicht habe löschen können. Auf Grund Eures Themas "ukash trojaner blockiert xp laptop" (http://www.trojaner-board.de/105914-...xp-laptop.html) habe ich noch srep.exe, dds.com und GMER laufen lassen. Die Anbei findet Ihr die entsprechenden Dateien Auf Grund Eures Themas "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" (http://www.trojaner-board.de/69886-a...-beachten.html) habe ich defogger laufen lassen, wurde von defogger aber nicht zu einem Neustart aufgefordert. Ich dachte ich habe irgendetwas falsch gemacht und deshalb den re-enable Knopf und dann wieder den Disabel Knopf noch einmal angeklickt. Aber auch weiterhin kam keine Aufforderung zum Neustart. Den Neustart habe ich dann zur Sicherheit selber eingeleitet. Anbei findet Ihr das Log von OTL.TXT: OTL logfile created on: 08.12.2011 23:27:05 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free 7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free Paging file location(s): S:\pagefile.sys 4096 4096 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32 Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32 Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS Computer Name: E3300D | User Name: AHStern | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\OTL.exe PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate) SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R) SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R) SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService) SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU) ========== Driver Services (SafeList) ========== DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk) DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86) DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide) DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft) O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager [2011.12.08 11:15:05 | 000,208,896 | ---- | C] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe [2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone [2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer [2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView [2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET [2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.08 23:24:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.08 23:01:12 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap [2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$ [2011.12.08 16:05:48 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx [2011.12.08 11:15:05 | 000,208,896 | ---- | M] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe [2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.11.10 23:06:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk [2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI [2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat [2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat [2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat [2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat [2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp [2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat [2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat [2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp [2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp [2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini [2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat [2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat [2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe [2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe [2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2009.04.22 13:56:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\ACD Systems [2011.06.17 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Audacity [2011.03.22 11:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Avery [2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Canneverbe Limited [2010.07.08 22:24:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\CheckPoint [2011.01.01 19:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\DataDesign [2011.03.22 14:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\EAC [2011.12.05 14:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\foobar2000 [2011.01.01 18:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Lexware [2009.04.05 11:34:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\OpenOffice.org [2010.12.31 16:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Thunderbird [2009.04.22 14:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2011.03.22 11:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery [2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2009.04.05 06:23:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2011.03.24 15:32:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV [2011.03.22 10:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CdCoverCreator [2011.01.01 18:47:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2011.08.19 20:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld [2011.09.16 10:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft [2009.04.22 15:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0 [2011.01.01 18:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money ========== Purity Check ========== < End of report > Das Log von Extras.Txt: OTL Extras logfile created on: 08.12.2011 23:27:05 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free 7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free Paging file location(s): S:\pagefile.sys 4096 4096 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32 Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32 Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS Computer Name: E3300D | User Name: AHStern | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\OwnPrg\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [ACDSee Pro 2.5.Browse] -- "C:\OwnPrg\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems) Directory [AddToPlaylistVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Browse with FastStone] -- "C:\OwnPrg\FastStone Image Viewer\FSViewer.exe" "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring" = 1 ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe "C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe "C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard) "C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe "C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney 7.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH) "C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe:*:Enabled:StarMoney 7.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH) "C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD) "C:\OwnPrg\Skype\Plugin Manager\skypePM.exe" = C:\OwnPrg\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager "C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe "C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe "C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe "C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard) "C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.) "C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.) "C:\Programme\Wertpapieranalyse 2011\wm60.exe" = C:\Programme\Wertpapieranalyse 2011\wm60.exe:*:Enabled:WPA2011 -- (World Money) "C:\OwnPrg\Mozilla Firefox\firefox.exe" = C:\OwnPrg\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime "{048DDE77-66D5-4335-8497-903856759B58}" = BPDSoftware "{04DB9640-A905-456C-96F5-F1EB80FEB5C9}" = ProductContext "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{05DC79C6-4213-45D3-BE8A-50B8B7C1F0E1}" = bpd_scan_Carrier "{060C339D-DD36-4d93-BCC7-0D68827936D8}" = Misc "{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan "{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar "{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4600_series" = Canon iP4600 series Printer Driver "{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery "{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23 "{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox "{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5 "{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{450008C6-3722-4214-AB4F-9E45B57CB422}" = DDBAC "{461A4763-28B5-425A-AE3D-B9B54EDF0F21}" = CIB pdf brewer "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10 "{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service "{5B025634-7D5B-4B8D-BE2A-7943C1CF2D5D}" = Status "{63B9224A-89C9-44E6-8252-5F2F73A71C54}" = StarMoney "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 "{879C52A2-FF9A-4CB5-BB74-B0DA994ABB2A}" = StarMoney "{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs "{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg "{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002 "{9294F169-72EE-4D74-AE92-CA25F64B4FF8}" = Fax "{9615E45B-7670-4D17-9ED5-28B9E936EEDD}" = 7500_7600_7700_Help1 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{9D6C64CC-EA60-47A6-9C97-82C38231EDAE}" = HP OfficeJet L7300/L7500/7600/7700 "{9DC1A9BA-070A-455F-8AC3-62587524ADFB}" = Quicken 2011 - ServicePack 4 "{A13D9E3A-B31D-4E69-8681-EDB7AA02E365}" = Quicken Import Export Server 2011 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A80FA752-C491-4ED9-ABF0-4278563160B2}" = 32 Bit HP CIO Components Installer "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1) "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars "{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2 "{BC5DD87B-0143-4D14-AAE6-97109614DC6B}" = SolutionCenter "{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C4CC491B-5E85-4E96-8911-DF425893DF4A}" = L7500 "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CA5560BD-88F0-4fee-8DF3-25D95CFD8941}" = UGuide "{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection "{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CFCCB295-D487-468F-B595-6D97C515F53D}" = StarMoney 7.0 S-Edition "{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools "{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3 "{DB82F31B-D828-4aee-84F8-7F16CA7A1796}" = Toolbox "{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011 "{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager "{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung "{ED23E382-E5E3-4E21-B616-01FC59A40916}" = OpenOffice.org 3.3 "{ED3D79A6-B3BB-4482-B226-0B620F97258A}" = BPDSoftware_Ini "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F625701A-E55C-47B4-8FC0-52B4FFE306BB}" = Wertpapieranalyse 2011 "{F6995FC4-2D91-4169-B3C4-7C51B7123902}" = Lexware online banking "{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5 "{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ASAPI Update" = ASAPI Update "Ask Toolbar_is1" = ZoneAlarm Spy Blocker Toolbar "ATI Display Driver" = ATI Display Driver "Audacity_is1" = Audacity 1.2.6 "Avira AntiVir Desktop" = Avira Free Antivirus "CCleaner" = CCleaner "CdCoverCreator" = CdCoverCreator 2.5.3 "Exact Audio Copy" = Exact Audio Copy 1.0beta3 "FastStone Image Viewer" = FastStone Image Viewer 4.6 "FLAC" = FLAC 1.2.1b (remove only) "foobar2000" = foobar2000 v1.1.10 "GPL Ghostscript 9.04" = GPL Ghostscript "HDD Health_is1" = HDD Health v3.3 Beta "HP Imaging Device Functions" = HP Imaging Device Functions 14.0 "HP Officejet Pro K550 Series" = HP Officejet Pro K550 Series "HP Solution Center & Imaging Support Tools" = HP Solution Center 14.0 "HPOCR" = OCR Software by I.R.I.S. 14.0 "Idlebackup_is1" = Idlebackup 1.18c "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie8" = Windows Internet Explorer 8 "InstallShield_{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011 "InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5 "IrfanView" = IrfanView (remove only) "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US) "Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1) "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Polipo" = Polipo 1.0.4.1 "Tor" = Tor 0.2.2.32 "Unlocker" = Unlocker 1.9.1 "Vidalia" = Vidalia 0.2.14 "VLC media player" = VLC media player 1.1.11 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WinRAR archiver" = WinRAR 4.01 (32-bit) "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Works2003Setup" = Microsoft Works 2003-Setup-Start "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 "ZoneAlarm" = ZoneAlarm ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Mozilla Firefox 8.0 (x86 en-US)" = Mozilla Firefox 8.0 (x86 en-US) "Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0) ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 05.11.2011 12:05:06 | Computer Name = E3300D | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 05.11.2011 12:52:47 | Computer Name = E3300D | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 10.11.2011 09:26:49 | Computer Name = E3300D | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 15.11.2011 17:22:31 | Computer Name = E3300D | Source = .NET Runtime 2.0 Error Reporting | ID = 1000 Description = Faulting application starmoney.exe, version 2.0.8.23, stamp 4e7b2f86, faulting module unknown, version 0.0.0.0, stamp 00000000, debug? 0, fault address 0x00000000. Error - 17.11.2011 08:06:05 | Computer Name = E3300D | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung vlc.exe, Version 1.1.11.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 18.11.2011 07:59:45 | Computer Name = E3300D | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpqkygrp.exe, Version 140.0.167.0, fehlgeschlagenes Modul hpqtsshctui.dll, Version 140.0.167.0, Fehleradresse 0x00011099. Error - 19.11.2011 16:08:24 | Computer Name = E3300D | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung vidalia.exe, Version 0.2.14.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.12.2011 18:12:31 | Computer Name = E3300D | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung 0.6283503009895707.exe, Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4124 Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut. Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4126 Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes Filtern aller Dokumente. [ System Events ] Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001 Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059 Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: avipbb avkmgr Fips Processor ssmdrv Error - 08.12.2011 18:26:41 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = atapi | ID = 262149 Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden. Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. Error - 08.12.2011 18:26:45 | Computer Name = E3300D | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden. < End of report > Das Log von Gmer: GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-12-08 21:09:45 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-5 rev. Running: uqk9qcbv.exe; Driver: C:\DOKUME~1\AHStern\LOKALE~1\Temp\fwldapog.sys ---- System - GMER 1.0.15 ---- SSDT F7A63D36 ZwCreateKey SSDT F7A63D2C ZwCreateThread SSDT F7A63D3B ZwDeleteKey SSDT F7A63D45 ZwDeleteValueKey SSDT F7A63D4A ZwLoadKey SSDT F7A63D18 ZwOpenProcess SSDT F7A63D1D ZwOpenThread SSDT F7A63D54 ZwReplaceKey SSDT F7A63D4F ZwRestoreKey SSDT F7A63D40 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- .text atapi.sys F7315852 1 Byte [CC] {INT 3 } .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF4C9A000, 0x1C5D58, 0xE8000020] ? C:\DOKUME~1\AHStern\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Threads - GMER 1.0.15 ---- Thread System [4:680] 89FFD161 Thread System [4:688] 8945AC30 ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior ---- EOF - GMER 1.0.15 ---- Shell.txt von von srep: WIN_XP X86 Service Pack 3 Running from J:\ HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ] . . . HKCU\..\Winlogon; Shell not found . [System Process] System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe svchost.exe svchost.exe cmd.exe explorer.exe srep.exe HKLM\..\Run [ZoneAlarm Client] = "C:\OwnPrg\ZoneAlarm\zlclient.exe" HKLM\..\Run [HP Software Update] = C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe HKLM\..\Run [] = HKLM\..\Run [avgnt] = "C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe" /min HKCU\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe HKCU\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl HKCU\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-20_Classes\..\Winlogon; Shell = HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Winlogon; Shell = HKU\S-1-5-21-1004336348-1292428093-682003330-1007_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE ==== FINISH 08.12-20.27 ==== dds.txt von dds.com: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_23 Run by AHStern at 20:41:13 on 2011-12-08 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3326.2235 [GMT 1:00] . AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} FW: ZoneAlarm Firewall *Disabled* . ============== Running Processes =============== . C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe C:\WINDOWS\System32\svchost.exe -k eapsvcs svchost.exe C:\WINDOWS\System32\svchost.exe -k dot3svc C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE svchost.exe C:\OwnPrg\ZoneAlarm\zlclient.exe C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\cisvc.exe C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe -k hpdevmgmt C:\WINDOWS\system32\svchost.exe -k HPService C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\OwnPrg\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\WINDOWS\system32\svchost.exe -k imgsvc C:\OwnPrg\HDD Health\hddhealth.exe C:\OwnPrg\Idlebackup\IdleBackup.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\cidaemon.exe C:\OwnPrg\Avira\AntiVir Desktop\sched.exe C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe C:\OwnPrg\Avira\AntiVir Desktop\avshadow.exe . ============== Pseudo HJT Report =============== . uStart Page = about:blank BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\programme\askbardis\bar\bin\askBar.dll BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\ownprg\spybot~1\SDHelper.dll BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\ownprg\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\ownprg\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: ZoneAlarm Spy Blocker Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\programme\askbardis\bar\bin\askBar.dll TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File {555d4d79-4bd2-4094-a395-cfc534424a05} uRun: [SpybotSD TeaTimer] c:\ownprg\spybot - search & destroy\TeaTimer.exe uRun: [HDDHealth] c:\ownprg\hdd health\hddhealth.exe -wl uRun: [Idlebackup] c:\ownprg\idlebackup\IdleBackup.exe uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe mRun: [ZoneAlarm Client] "c:\ownprg\zonealarm\zlclient.exe" mRun: [HP Software Update] c:\ownprg\hp\hp software update\HPWuSchd2.exe mRun: [<NO NAME>] mRun: [avgnt] "c:\ownprg\avira\antivir desktop\avgnt.exe" /min dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\dokume~1\ahstern\startm~1\progra~1\autost~1\idleba~1.lnk - c:\ownprg\idlebackup\IdleBackup.exe IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\ownprg\spybot~1\SDHelper.dll DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab TCP: DhcpNameServer = 192.168.178.1 TCP: Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2} : DhcpNameServer = 192.168.178.1 Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll Notify: AtiExtEvent - Ati2evxx.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll . ================= FIREFOX =================== . FF - ProfilePath - . ============= SERVICES / DRIVERS =============== . R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2009-3-22 183824] R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [2009-3-29 10368] R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2010-7-12 10240] R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-18 36000] R2 AntiVirSchedulerService;Avira Planer;c:\ownprg\avira\antivir desktop\sched.exe [2011-10-18 86224] R2 AntiVirService;Avira Echtzeit Scanner;c:\ownprg\avira\antivir desktop\avguard.exe [2011-10-18 110032] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-18 74640] S2 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2009-4-4 532224] S2 vsmon;TrueVector Internet Monitor;c:\windows\system32\zonelabs\vsmon.exe -service --> c:\windows\system32\zonelabs\vsmon.exe -service [?] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-4-4 1684736] S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\system32\svchost.exe -k nosGetPlusHelper [2008-4-14 14336] S4 ASKService;ASKService;c:\programme\askbardis\bar\bin\AskService.exe [2009-4-5 464264] S4 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\ownprg\starmoney 7.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2011-11-15 554160] . =============== Created Last 30 ================ . 2011-12-08 10:15:05 208896 ----a-w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\mahmud.exe 2011-12-05 20:55:17 -------- d-----w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\FastStone 2011-12-05 13:23:48 -------- d-----w- c:\dokumente und einstellungen\ahstern\lokale einstellungen\anwendungsdaten\Paint.NET . ==================== Find3M ==================== . 2011-11-19 20:36:01 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-10-11 13:00:01 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-10-11 13:00:01 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2011-10-10 14:22:46 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-10-07 16:05:50 323624 ----a-w- c:\windows\system32\wiaaut.dll 2011-09-28 07:06:43 604160 ----a-w- c:\windows\system32\crypt32.dll 2011-09-26 15:47:40 227176 ----a-w- c:\windows\system32\ddBACCTM.cpl 2011-09-26 15:47:38 825192 ----a-w- c:\windows\system32\Ddbaccpl.cpl 2011-09-26 09:41:54 614912 ----a-w- c:\windows\system32\uiautomationcore.dll 2011-09-26 09:41:54 23040 ----a-w- c:\windows\system32\oleaccrc.dll 2011-09-26 09:41:20 220160 ----a-w- c:\windows\system32\oleacc.dll . =================== ROOTKIT ==================== . Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net Windows 5.1.2600 . CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. device: opened successfully user: error reading MBR . Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x894A81D1]<< _asm { PUSH 0x8a007694; PUSH 0x0; PUSH 0x894c9a50; PUSH EAX; PUSH 0x8a004990; RET ; ADD [EAX+EAX], AL; ADC ECX, [EDX]; INC ESI; } 1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A6B8AB8] 3 CLASSPNP[0xF74E7FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000065[0x8A6F9678] 5 ACPI[0xF735D620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP1T0L0-5[0x8A734218] kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; } user != kernel MBR !!! . ============= FINISH: 20:41:25,26 =============== attach.txt von dds.com: . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft Windows XP Home Edition Boot Device: \Device\HarddiskVolume1 Install Date: 02.04.2009 21:08:24 System Uptime: 08.12.2011 20:27:41 (0 hours ago) . Motherboard: MEDIONPC | | MS-7501 Processor: AMD Athlon(tm) 7750 Dual-Core Processor | CPU 1 | 2694/200mhz . ==== Disk Partitions ========================= . A: is Removable C: is FIXED (NTFS) - 29 GiB total, 15,203 GiB free. E: is FIXED (NTFS) - 426 GiB total, 97,127 GiB free. F: is FIXED (NTFS) - 29 GiB total, 2,628 GiB free. G: is FIXED (FAT32) - 15 GiB total, 4,558 GiB free. H: is CDROM () J: is Removable K: is Removable M: is Removable R: is FIXED (FAT32) - 0 GiB total, 0,499 GiB free. Y: is FIXED (NTFS) - 98 GiB total, 16,647 GiB free. . ==== Disabled Device Manager Items ============= . ==== System Restore Points =================== . RP156: 06.12.2011 08:14:25 - Systemprüfpunkt RP157: 08.12.2011 09:47:27 - Systemprüfpunkt . ==== Installed Programs ====================== . 32 Bit HP CIO Components Installer 7500_7600_7700_Help1 ACDSee Pro 2.5 Adobe Download Manager Adobe Flash Player 10 ActiveX Adobe Flash Player 11 Plugin Adobe Reader X (10.1.1) ASAPI Update ATI - Dienstprogramm zur Deinstallation der Software ATI AVIVO Codecs ATI Display Driver Audacity 1.2.6 Avira Free Antivirus Bing Bar bpd_scan_Carrier BPDSoftware BPDSoftware_Ini BufferChm Canon iP4600 series Printer Driver CCleaner CDBurnerXP CdCoverCreator 2.5.3 CIB pdf brewer DDBAC DesignPro 5 Destinations DeviceDiscovery DocProc Exact Audio Copy 1.0beta3 FastStone Image Viewer 4.6 Fax FLAC 1.2.1b (remove only) foobar2000 v1.1.10 GPBaseService2 GPL Ghostscript HDD Health v3.3 Beta Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB2443685) Hotfix für Windows XP (KB2570791) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) Hotfix für Windows XP (KB981793) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows XP (KB954550-v5) Hotfix for Windows XP (KB976002-v5) HP Imaging Device Functions 14.0 HP OfficeJet L7300/L7500/7600/7700 HP Officejet Pro K550 Series HP Product Detection HP Solution Center 14.0 HP Update HPProductAssistant Idlebackup 1.18c IrfanView (remove only) Java Auto Updater Java(TM) 6 Update 23 L7500 Lexware Info Service Lexware online banking Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Word 2002 Microsoft Works 2003-Setup-Start Misc Mozilla Firefox 7.0.1 (x86 en-US) Mozilla Firefox 8.0 (x86 en-US) Mozilla Thunderbird (7.0.1) Mozilla Thunderbird (8.0) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) Network OCR Software by I.R.I.S. 14.0 OpenOffice.org 3.3 Paint.NET v3.5.10 PDFill PDF Editor with FREE Writer and FREE Tools Polipo 1.0.4.1 ProductContext Quicken 2011 Quicken 2011 - ServicePack 4 Quicken Import Export Server 2011 REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek High Definition Audio Driver Scan Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473) Servicepack Datumsaktualisierung Sicherheitsupdate für Microsoft Windows (KB2564958) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131) Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400) Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017) Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640) Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531) Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548) Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521) Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049) Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448) Sicherheitsupdate für Windows Internet Explorer 8 (KB971961) Sicherheitsupdate für Windows Internet Explorer 8 (KB981332) Sicherheitsupdate für Windows Internet Explorer 8 (KB982381) Sicherheitsupdate für Windows Media Player (KB2378111) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player (KB954155) Sicherheitsupdate für Windows Media Player (KB973540) Sicherheitsupdate für Windows Media Player (KB975558) Sicherheitsupdate für Windows Media Player (KB978695) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB2079403) Sicherheitsupdate für Windows XP (KB2115168) Sicherheitsupdate für Windows XP (KB2121546) Sicherheitsupdate für Windows XP (KB2229593) Sicherheitsupdate für Windows XP (KB2259922) Sicherheitsupdate für Windows XP (KB2286198) Sicherheitsupdate für Windows XP (KB2296011) Sicherheitsupdate für Windows XP (KB2296199) Sicherheitsupdate für Windows XP (KB2347290) Sicherheitsupdate für Windows XP (KB2360937) Sicherheitsupdate für Windows XP (KB2387149) Sicherheitsupdate für Windows XP (KB2393802) Sicherheitsupdate für Windows XP (KB2412687) Sicherheitsupdate für Windows XP (KB2419632) Sicherheitsupdate für Windows XP (KB2423089) Sicherheitsupdate für Windows XP (KB2436673) Sicherheitsupdate für Windows XP (KB2440591) Sicherheitsupdate für Windows XP (KB2443105) Sicherheitsupdate für Windows XP (KB2476490) Sicherheitsupdate für Windows XP (KB2476687) Sicherheitsupdate für Windows XP (KB2478960) Sicherheitsupdate für Windows XP (KB2478971) Sicherheitsupdate für Windows XP (KB2479628) Sicherheitsupdate für Windows XP (KB2479943) Sicherheitsupdate für Windows XP (KB2481109) Sicherheitsupdate für Windows XP (KB2483185) Sicherheitsupdate für Windows XP (KB2485376) Sicherheitsupdate für Windows XP (KB2485663) Sicherheitsupdate für Windows XP (KB2503658) Sicherheitsupdate für Windows XP (KB2503665) Sicherheitsupdate für Windows XP (KB2506212) Sicherheitsupdate für Windows XP (KB2506223) Sicherheitsupdate für Windows XP (KB2507618) Sicherheitsupdate für Windows XP (KB2507938) Sicherheitsupdate für Windows XP (KB2508272) Sicherheitsupdate für Windows XP (KB2508429) Sicherheitsupdate für Windows XP (KB2509553) Sicherheitsupdate für Windows XP (KB2511455) Sicherheitsupdate für Windows XP (KB2524375) Sicherheitsupdate für Windows XP (KB2535512) Sicherheitsupdate für Windows XP (KB2536276-v2) Sicherheitsupdate für Windows XP (KB2536276) Sicherheitsupdate für Windows XP (KB2544893-v2) Sicherheitsupdate für Windows XP (KB2544893) Sicherheitsupdate für Windows XP (KB2555917) Sicherheitsupdate für Windows XP (KB2562937) Sicherheitsupdate für Windows XP (KB2566454) Sicherheitsupdate für Windows XP (KB2567053) Sicherheitsupdate für Windows XP (KB2567680) Sicherheitsupdate für Windows XP (KB2570222) Sicherheitsupdate für Windows XP (KB2570947) Sicherheitsupdate für Windows XP (KB2592799) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953155) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956744) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB956844) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB958869) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB960859) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB969059) Sicherheitsupdate für Windows XP (KB970238) Sicherheitsupdate für Windows XP (KB970430) Sicherheitsupdate für Windows XP (KB971468) Sicherheitsupdate für Windows XP (KB971657) Sicherheitsupdate für Windows XP (KB972270) Sicherheitsupdate für Windows XP (KB973507) Sicherheitsupdate für Windows XP (KB973869) Sicherheitsupdate für Windows XP (KB973904) Sicherheitsupdate für Windows XP (KB974112) Sicherheitsupdate für Windows XP (KB974318) Sicherheitsupdate für Windows XP (KB974392) Sicherheitsupdate für Windows XP (KB974571) Sicherheitsupdate für Windows XP (KB975025) Sicherheitsupdate für Windows XP (KB975467) Sicherheitsupdate für Windows XP (KB975560) Sicherheitsupdate für Windows XP (KB975561) Sicherheitsupdate für Windows XP (KB975562) Sicherheitsupdate für Windows XP (KB975713) Sicherheitsupdate für Windows XP (KB977816) Sicherheitsupdate für Windows XP (KB977914) Sicherheitsupdate für Windows XP (KB978037) Sicherheitsupdate für Windows XP (KB978338) Sicherheitsupdate für Windows XP (KB978542) Sicherheitsupdate für Windows XP (KB978601) Sicherheitsupdate für Windows XP (KB978706) Sicherheitsupdate für Windows XP (KB979309) Sicherheitsupdate für Windows XP (KB979482) Sicherheitsupdate für Windows XP (KB979559) Sicherheitsupdate für Windows XP (KB979683) Sicherheitsupdate für Windows XP (KB979687) Sicherheitsupdate für Windows XP (KB980195) Sicherheitsupdate für Windows XP (KB980218) Sicherheitsupdate für Windows XP (KB980232) Sicherheitsupdate für Windows XP (KB980436) Sicherheitsupdate für Windows XP (KB981322) Sicherheitsupdate für Windows XP (KB981852) Sicherheitsupdate für Windows XP (KB981997) Sicherheitsupdate für Windows XP (KB982132) Sicherheitsupdate für Windows XP (KB982214) Sicherheitsupdate für Windows XP (KB982665) Skype Toolbars Skype™ 5.3 SolutionCenter Spybot - Search & Destroy StarMoney StarMoney 7.0 S-Edition Status Toolbox Tor 0.2.2.32 TrayApp UGuide Unlocker 1.9.1 Update für Windows Internet Explorer 8 (KB968220) Update für Windows Internet Explorer 8 (KB976662) Update für Windows XP (KB2141007) Update für Windows XP (KB2345886) Update für Windows XP (KB2467659) Update für Windows XP (KB2541763) Update für Windows XP (KB2607712) Update für Windows XP (KB2616676) Update für Windows XP (KB2641690) Update für Windows XP (KB898461) Update für Windows XP (KB951978) Update für Windows XP (KB955759) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update für Windows XP (KB968389) Update für Windows XP (KB971029) Update für Windows XP (KB971737) Update für Windows XP (KB973687) Update für Windows XP (KB973815) Update for Microsoft .NET Framework 3.5 SP1 (KB963707) VC 9.0 Runtime Vidalia 0.2.14 VLC media player 1.1.11 WebFldrs XP WebReg Wertpapieranalyse 2011 Wichtiges Update für Windows Media Player 11 (KB959772) Windows Genuine Advantage Validation Tool (KB892130) Windows Internet Explorer 8 Windows Media Format 11 runtime Windows Media Player 11 WinRAR 4.01 (32-bit) XML Paper Specification Shared Components Language Pack 1.0 XML Paper Specification Shared Components Pack 1.0 ZoneAlarm ZoneAlarm Spy Blocker Toolbar . ==== End Of File =========================== Vielen Dank für Eure Hilfe. Gruß aus dem Norden, HJS |
|
09.12.2011, 16:52
| #2 |
| | ukash/BKA - Virus Ich glaube, ich habe bei OTL vergessen, den Code für benutzerdefinierte Scans in das entsprechende Fenster bei OTL zu kopieren, bevor ich es habe laufen lassen. Deshalb liefere ich dies hiermit nach:
__________________OTL.TXT:OTL Logfile: Code:
ATTFilter OTL logfile created on: 09.12.2011 16:41:58 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,89 Gb Available Physical Memory | 88,85% Memory free 7,07 Gb Paging File | 6,91 Gb Available in Paging File | 97,74% Paging File free Paging file location(s): S:\pagefile.sys 4096 4096 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,30 Gb Total Space | 14,46 Gb Free Space | 49,36% Space Free | Partition Type: NTFS Drive D: | 99,78 Gb Total Space | 18,75 Gb Free Space | 18,79% Space Free | Partition Type: NTFS Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32 Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32 Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS Computer Name: E3300D | User Name: AHStern | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\OTL.exe PRC - [2011.11.08 18:29:38 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\OwnPrg\Mozilla Firefox\firefox.exe PRC - [2010.11.16 17:46:04 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\OwnPrg\ZoneAlarm\zlclient.exe PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2011.12.05 14:20:02 | 000,076,800 | ---- | M] () -- D:\AAEigDat\OwnPrgData\Mozilla Firefox\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}\components\RadioWMPCoreGecko8.dll MOD - [2011.11.08 18:29:37 | 001,989,592 | ---- | M] () -- C:\OwnPrg\Mozilla Firefox\mozjs.dll MOD - [2011.05.28 21:04:56 | 000,140,288 | ---- | M] () -- C:\OwnPrg\WinRAR\RarExt.dll MOD - [2010.07.04 22:32:38 | 000,010,752 | ---- | M] () -- C:\OwnPrg\Unlocker\UnlockerCOM.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate) SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R) SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R) SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService) SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU) ========== Driver Services (SafeList) ========== DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk) DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86) DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide) DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft) O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /HideWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - Services: "ATI Smart" MsConfig - Services: "Ati HotKey Poller" MsConfig - Services: "ASKService" MsConfig - Services: "WMPNetworkSvc" MsConfig - Services: "StarMoney 7.0 OnlineUpdate" MsConfig - Services: "JavaQuickStarterService" MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^AHStern^Startmenü^Programme^Autostart^OpenOffice.org 3.3.lnk - C:\OwnPrg\OpenOffice.org 3\program\quickstart.exe - () MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk - C:\OwnPrg\HP\Digital Imaging\bin\hpqtra08.exe - (Hewlett-Packard Co.) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\OwnPrg\Microsoft Office\Office10\OSA.EXE - (Microsoft Corporation) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Quicken 2011 Zahlungserinnerung.lnk - C:\OwnPrg\Lexware\Quicken2011\billmind.exe - (Haufe-Lexware GmbH & Co. KG) MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\OwnPrg\HP\HP Software Update\hpwuschd2.exe (Hewlett-Packard) MsConfig - StartUpReg: HPWUTOOLBOX - hkey= - key= - C:\OwnPrg\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe (Hewlett-Packard Company) MsConfig - StartUpReg: LexwareInfoService - hkey= - key= - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) MsConfig - StartUpReg: RTHDCPL - hkey= - key= - C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.) MsConfig - StartUpReg: Skype - hkey= - key= - C:\OwnPrg\Skype\Phone\Skype.exe (Skype Technologies S.A.) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) MsConfig - StartUpReg: UnlockerAssistant - hkey= - key= - C:\OwnPrg\Unlocker\UnlockerAssistant.exe () MsConfig - StartUpReg: UserFaultCheck - hkey= - key= - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 2 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Error creating restore point. ========== Files/Folders - Created Within 30 Days ========== [2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe [2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe [2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager [2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone [2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer [2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView [2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET [2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.09 16:21:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.12.09 14:02:21 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.12.09 10:27:41 | 000,001,869 | ---- | M] () -- D:\AAEigDat\pinfect.zip [2011.12.09 10:01:14 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx [2011.12.09 09:55:31 | 000,000,835 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk [2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap [2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$ [2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.11.10 23:06:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.09 10:27:41 | 000,001,869 | ---- | C] () -- D:\AAEigDat\pinfect.zip [2011.12.09 09:55:31 | 000,000,835 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk [2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk [2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI [2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat [2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat [2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat [2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat [2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp [2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat [2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat [2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp [2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp [2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini [2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat [2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat [2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe [2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe [2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2009.04.22 13:56:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\ACD Systems [2011.06.17 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Audacity [2011.03.22 11:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Avery [2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Canneverbe Limited [2010.07.08 22:24:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\CheckPoint [2011.01.01 19:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\DataDesign [2011.03.22 14:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\EAC [2011.12.05 14:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\foobar2000 [2011.01.01 18:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Lexware [2009.04.05 11:34:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\OpenOffice.org [2010.12.31 16:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Thunderbird [2009.04.22 14:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2011.03.22 11:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery [2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2009.04.05 06:23:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2011.03.24 15:32:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV [2011.03.22 10:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CdCoverCreator [2011.01.01 18:47:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2011.08.19 20:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld [2011.09.16 10:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft [2009.04.22 15:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0 [2011.01.01 18:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.12.05 14:24:08 | 000,000,000 | -H-D | M] -- C:\Config.Msi [2009.04.10 08:27:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2011.12.05 21:55:01 | 000,000,000 | ---D | M] -- C:\OwnPrg [2011.06.17 08:39:21 | 000,000,000 | R--D | M] -- C:\Programme [2011.12.08 20:35:04 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.04.20 18:30:54 | 000,000,000 | ---D | M] -- C:\spoolerlogs [2009.04.02 22:17:36 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.12.09 10:01:35 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: AFD.SYS > [2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys [2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys [2008.04.13 23:49:24 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB951748$\afd.sys [2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys [2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys [2008.08.14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys [2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys [2008.08.14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys [2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys [2008.06.20 12:48:03 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=D6EE6014241D034E63C49A50CB2B442A -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys [2008.06.20 12:40:08 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=E3049B90FE06F3F740B7CFDA44995E2C -- C:\WINDOWS\$NtUninstallKB956803$\afd.sys [2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys < MD5 for: EXPLORER.EXE > [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: IPSEC.SYS > [2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys [2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys < MD5 for: REGEDIT.EXE > [2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.09.06 15:10:01 | 001,859,072 | ---- | M] (Microsoft Corporation) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 18:20:13 < End of report > Vielen Dank für die Unterstützung. Gruß HJS |
|
09.12.2011, 17:04
| #3 |
| | ukash/BKA - Virus Oh ja, ich vergaß, die Extra.txt (oder Extras.txt?) hätte ich noch anhängen sollen. Aber da gab es keine neue Datei.
__________________HJS |
|
10.12.2011, 10:11
| #4 |
| | ukash/BKA - Virus Was kann ich tun, damit mein Beitrag schneller beantwortet wird, habe ich irgendetwas Wichtiges vergessen? Vielen Dank für Eure Unterstützung. Gruß HJS |
|
10.12.2011, 19:21
| #5 |
| /// Selecta Jahrusso   | ukash/BKA - Virus Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Downloade Dir bitte Malwarebytes
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
10.12.2011, 19:45
| #6 |
| | ukash/BKA - Virus Hallo Larusso / Daniel, vielen Dank für deine Hilfe, ich heiße übrigens Holger. Also ich habe die Datei heruntergeladen, im "Default-Ordner" installiert (allerdings auf English), aktualisiert und einen Quick-Scan durchgeführt. Interessanter Weise findet das Programm keinen Virus, ich vermute, dass dies auch dazu führt, dass ich mir keine Ergebnisse anzeigen lassen kann. Anbei findest du das Log von mbam: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Database version: 8348 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 10.12.2011 19:35:56 mbam-log-2011-12-10 (19-35-56).txt Scan type: Quick scan Objects scanned: 190779 Time elapsed: 2 minute(s), 24 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Vielen Dank für deine tatkräftige Unterstützung. Gruß Holger (Im Übrigen: OS: WIN XP, SP3, alle Updates) |
|
10.12.2011, 19:58
| #7 |
| /// Selecta Jahrusso | ukash/BKA - VirusESET Online Scanner
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
10.12.2011, 20:21
| #8 |
| | ukash/BKA - Virus Hallo Daniel, in meinem ursprünglichen Thema hatte ich übrigens die Logfiles von Avira und von MicroWorld eScan angekündigt, die hatte ich allerdings vergessen. Wenn du die noch brauchst, melden. Im Übrigen hatte ich ursprünglich auch geschrieben, dass ich auf Grund des Bildschirms der ständig im Vordergrund war, nichts Anderes mehr machen konnte und den Computer deshalb runtergefahren habe. Dies stimmt so natürlich nicht ganz, ich konnte den Computer nur noch über den Schalter abwürgen. Deine Anleitung, was ich machen soll ist eigentlich klar, nur was du mit "Skriptblocking und ähnliches" meinst, ist mir nicht klar. Vielen Dank für deine Hilfe Holger |
|
10.12.2011, 20:38
| #9 |
| /// Selecta Jahrusso | ukash/BKA - Virus Wenn du nicht weißt was das ist, dann brauchst du auch nichts deaktivieren.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
10.12.2011, 21:19
| #10 |
| | ukash/BKA - Virus Hallo Daniel, ich hatte in meinem ursprünglichen Post geschrieben, dass Java in Firefox angeschaltet war. Ich war deshalb darauf gekommen, weil der Virenscan mit MicroWorld eScan viele Java-bezogene Probleme aufzeigte. Auch jetzt, mit dem ESET Online Scanner werden gerade wieder haufenweise Probleme in Bezug auf Java angezeigt. Ich habe jetzt aber noch einmal in Firefox nachgesehen, da ist Java aber gar nicht aktiviert. Hat dieser Virus sich jetzt über Java heruntergeladen oder nicht? Wie kann ich zukünftig verhindern, dass so etwas wieder passiert? Der Überprüfung mit ESET wird wohl noch ca. 2,5 Stunden dauern, wenn sie durch ist, werde ich die Log-Datei beifügen. Gruß Holger |
|
11.12.2011, 00:05
| #11 |
| | ukash/BKA - Virus Hallo Daniel, anbei die Daten aus log.txt von ESET: ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=1 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=c950055e0f5b684da92985ccfd4dc158 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-12-10 10:51:25 # local_time=2011-12-10 11:51:25 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 0 0 0 0 # compatibility_mode=8192 67108863 100 0 4049 4049 0 0 # compatibility_mode=9217 16777214 75 62 28560725 33626499 0 0 # scanned=181011 # found=14 # cleaned=0 # scan_time=10228 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\2ac27740-3b1d5103 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\4c4d1254-7027af59 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\AVCBack\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F10UR5T0\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I D:\AFComput\Software\Tools, Windows\Unlocker 1.9.0\unlocker1.9.0.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I D:\AFComput\Software\Tools, Windows\Unlocker 1.9.1\Unlocker1.9.1.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I D:\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I Y:\HD_D\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I Daniel, ich sehe, du bist noch online, ich gehe jetzt ins Bett und wünsche dir auch eine gute Nacht. Ich schaue morgen früh rein, ob du mir in der Zwischenzeit wieder "Hausaufgaben" geschickt hast. Vielen Dank für deine Hilfe und dein Durchhaltevermögen, Holger |
|
11.12.2011, 15:14
| #12 |
| /// Selecta Jahrusso | ukash/BKA - Virus
Code:
ATTFilter :commands
[emptytemp]
[emptyflash]
Starte bitte OTL.exe. Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button. Poste die OTL.txt und die Extras.txt hier in deinen Thread. Bitte poste in deiner nächsten Antwort OTL.txt Extras.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
11.12.2011, 15:51
| #13 |
| | ukash/BKA - Virus Hallo Daniel, vielen Dank für deine Antwort. OTL hat nach dem Durchlauf nach Neustart gefragt. Ich habe den Computer dann wieder im abgesicherten Modus mit Netzwerktreibern gestartet. Falls ich ganz normal hätte starten sollen, bitte ansagen. Allerdings habe ich auf dem Desktop die Datei <time_date>.txt nicht gefunden, auch nicht auf C:\_OTL\MovedFiles\<time_date>.txt. Ich habe OTL von Laufwerk D: aus gestartet und dort die Datei D:\_OTL\MovedFiles\12112011_152928.log gefunden. Hier das Log von D:\_OTL\MovedFiles\12112011_152928.log: All processes killed ========== COMMANDS ========== [EMPTYTEMP] User: Admin ->Temp folder emptied: 2192008431 bytes ->Temporary Internet Files folder emptied: 2497066 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 2546 bytes User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 600 bytes User: AHStern ->Temp folder emptied: 830551869 bytes ->Temporary Internet Files folder emptied: 72866434 bytes ->Java cache emptied: 10001686 bytes ->Flash cache emptied: 49426 bytes User: All Users User: Default User ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 600 bytes User: LocalService ->Temp folder emptied: 2128936 bytes ->Temporary Internet Files folder emptied: 492602 bytes User: NetworkService ->Temp folder emptied: 2132536 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 30720 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 101548 bytes RecycleBin emptied: 2097787930 bytes Total Files Cleaned = 4.972,00 mb [EMPTYFLASH] User: Admin ->Flash cache emptied: 0 bytes User: Administrator ->Flash cache emptied: 0 bytes User: AHStern ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 12112011_152928 Danach habe ich OTL.exe wie angefragt noch einmal gestartet, allerdings blitzte nur ganz kurz irgendein Fenster auf und war sofort weg, von OTL keine Spur (auch im Taskmanager nicht). Habe OTL noch einmal gestartet, nun scheint alles normal zu laufen. Anbei von OTL die Extras.Txt:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 11.12.2011 15:47:03 - Run 3
OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads\bo VIRUS
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,25 Gb Total Physical Memory | 2,82 Gb Available Physical Memory | 86,91% Memory free
7,07 Gb Paging File | 6,87 Gb Available in Paging File | 97,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 17,48 Gb Free Space | 59,66% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 20,18 Gb Free Space | 20,22% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,31 Gb Free Space | 22,87% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,66 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS
Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 2.5.Browse] -- "C:\OwnPrg\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems)
Directory [AddToPlaylistVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with FastStone] -- "C:\OwnPrg\FastStone Image Viewer\FSViewer.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe
"C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney 7.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe:*:Enabled:StarMoney 7.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
"C:\OwnPrg\Skype\Plugin Manager\skypePM.exe" = C:\OwnPrg\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\Wertpapieranalyse 2011\wm60.exe" = C:\Programme\Wertpapieranalyse 2011\wm60.exe:*:Enabled:WPA2011 -- (World Money)
"C:\OwnPrg\Mozilla Firefox\firefox.exe" = C:\OwnPrg\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{048DDE77-66D5-4335-8497-903856759B58}" = BPDSoftware
"{04DB9640-A905-456C-96F5-F1EB80FEB5C9}" = ProductContext
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05DC79C6-4213-45D3-BE8A-50B8B7C1F0E1}" = bpd_scan_Carrier
"{060C339D-DD36-4d93-BCC7-0D68827936D8}" = Misc
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4600_series" = Canon iP4600 series Printer Driver
"{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery
"{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5
"{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{450008C6-3722-4214-AB4F-9E45B57CB422}" = DDBAC
"{461A4763-28B5-425A-AE3D-B9B54EDF0F21}" = CIB pdf brewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5B025634-7D5B-4B8D-BE2A-7943C1CF2D5D}" = Status
"{63B9224A-89C9-44E6-8252-5F2F73A71C54}" = StarMoney
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{879C52A2-FF9A-4CB5-BB74-B0DA994ABB2A}" = StarMoney
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9294F169-72EE-4D74-AE92-CA25F64B4FF8}" = Fax
"{9615E45B-7670-4D17-9ED5-28B9E936EEDD}" = 7500_7600_7700_Help1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D6C64CC-EA60-47A6-9C97-82C38231EDAE}" = HP OfficeJet L7300/L7500/7600/7700
"{9DC1A9BA-070A-455F-8AC3-62587524ADFB}" = Quicken 2011 - ServicePack 4
"{A13D9E3A-B31D-4E69-8681-EDB7AA02E365}" = Quicken Import Export Server 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A80FA752-C491-4ED9-ABF0-4278563160B2}" = 32 Bit HP CIO Components Installer
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2
"{BC5DD87B-0143-4D14-AAE6-97109614DC6B}" = SolutionCenter
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4CC491B-5E85-4E96-8911-DF425893DF4A}" = L7500
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CA5560BD-88F0-4fee-8DF3-25D95CFD8941}" = UGuide
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFCCB295-D487-468F-B595-6D97C515F53D}" = StarMoney 7.0 S-Edition
"{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DB82F31B-D828-4aee-84F8-7F16CA7A1796}" = Toolbox
"{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{ED23E382-E5E3-4E21-B616-01FC59A40916}" = OpenOffice.org 3.3
"{ED3D79A6-B3BB-4482-B226-0B620F97258A}" = BPDSoftware_Ini
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F625701A-E55C-47B4-8FC0-52B4FFE306BB}" = Wertpapieranalyse 2011
"{F6995FC4-2D91-4169-B3C4-7C51B7123902}" = Lexware online banking
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ASAPI Update" = ASAPI Update
"Ask Toolbar_is1" = ZoneAlarm Spy Blocker Toolbar
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CdCoverCreator" = CdCoverCreator 2.5.3
"ESET Online Scanner" = ESET Online Scanner v3
"Exact Audio Copy" = Exact Audio Copy 1.0beta3
"FastStone Image Viewer" = FastStone Image Viewer 4.6
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.1.10
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDD Health_is1" = HDD Health v3.3 Beta
"HP Imaging Device Functions" = HP Imaging Device Functions 14.0
"HP Officejet Pro K550 Series" = HP Officejet Pro K550 Series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 14.0
"HPOCR" = OCR Software by I.R.I.S. 14.0
"Idlebackup_is1" = Idlebackup 1.18c
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Polipo" = Polipo 1.0.4.1
"Tor" = Tor 0.2.2.32
"Unlocker" = Unlocker 1.9.1
"Vidalia" = Vidalia 0.2.14
"VLC media player" = VLC media player 1.1.11
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR 4.01 (32-bit)
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 8.0 (x86 en-US)" = Mozilla Firefox 8.0 (x86 en-US)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 05.11.2011 12:05:06 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 05.11.2011 12:52:47 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 10.11.2011 09:26:49 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.11.2011 17:22:31 | Computer Name = E3300D | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application starmoney.exe, version 2.0.8.23, stamp 4e7b2f86,
faulting module unknown, version 0.0.0.0, stamp 00000000, debug? 0, fault address
0x00000000.
Error - 17.11.2011 08:06:05 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.1.11.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 18.11.2011 07:59:45 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hpqkygrp.exe, Version 140.0.167.0, fehlgeschlagenes
Modul hpqtsshctui.dll, Version 140.0.167.0, Fehleradresse 0x00011099.
Error - 19.11.2011 16:08:24 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vidalia.exe, Version 0.2.14.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 07.12.2011 18:12:31 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 0.6283503009895707.exe, Version 0.0.0.0,
fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
[ System Events ]
Error - 11.12.2011 10:48:19 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
Monitor.
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
Gruppe abhängig, der später gestartet wird.
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
Monitor.
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
Gruppe abhängig, der später gestartet wird.
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
Monitor.
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
Gruppe abhängig, der später gestartet wird.
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
Monitor.
< End of report >
Von OTL die OTL.Txt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 11.12.2011 15:47:03 - Run 3 OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads\bo VIRUS Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,82 Gb Available Physical Memory | 86,91% Memory free 7,07 Gb Paging File | 6,87 Gb Available in Paging File | 97,12% Paging File free Paging file location(s): S:\pagefile.sys 4096 4096 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,30 Gb Total Space | 17,48 Gb Free Space | 59,66% Space Free | Partition Type: NTFS Drive D: | 99,78 Gb Total Space | 20,18 Gb Free Space | 20,22% Space Free | Partition Type: NTFS Drive E: | 425,53 Gb Total Space | 97,31 Gb Free Space | 22,87% Space Free | Partition Type: NTFS Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32 Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32 Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS Drive Y: | 97,55 Gb Total Space | 16,66 Gb Free Space | 17,07% Space Free | Partition Type: NTFS Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS Computer Name: E3300D | User Name: AHStern | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\bo VIRUS\OTL.exe PRC - [2011.11.08 18:29:38 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\OwnPrg\Mozilla Firefox\firefox.exe PRC - [2010.11.16 17:46:04 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\OwnPrg\ZoneAlarm\zlclient.exe PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2011.12.05 14:20:02 | 000,076,800 | ---- | M] () -- D:\AAEigDat\OwnPrgData\Mozilla Firefox\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}\components\RadioWMPCoreGecko8.dll MOD - [2011.11.19 21:36:01 | 008,527,008 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll MOD - [2011.11.08 18:29:37 | 001,989,592 | ---- | M] () -- C:\OwnPrg\Mozilla Firefox\mozjs.dll MOD - [2011.05.28 21:04:56 | 000,140,288 | ---- | M] () -- C:\OwnPrg\WinRAR\RarExt.dll MOD - [2010.07.04 22:32:38 | 000,010,752 | ---- | M] () -- C:\OwnPrg\Unlocker\UnlockerCOM.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate) SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R) SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R) SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService) SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU) ========== Driver Services (SafeList) ========== DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk) DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86) DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide) DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions [2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft) O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.12.10 20:53:30 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2011.12.10 19:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Malwarebytes [2011.12.10 19:31:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.12.10 19:31:36 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.12.10 19:31:36 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe [2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe [2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager [2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone [2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer [2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView [2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET [2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans ========== Files - Modified Within 30 Days ========== [2011.12.11 15:31:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.12.11 10:46:46 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.12.10 19:31:39 | 000,000,773 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.09 10:27:41 | 000,001,869 | ---- | M] () -- D:\AAEigDat\pinfect.zip [2011.12.09 10:01:14 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx [2011.12.09 09:55:31 | 000,000,835 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk [2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap [2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$ [2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.11.19 21:36:01 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl ========== Files Created - No Company Name ========== [2011.12.10 19:31:39 | 000,000,773 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.09 10:27:41 | 000,001,869 | ---- | C] () -- D:\AAEigDat\pinfect.zip [2011.12.09 09:55:31 | 000,000,835 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk [2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable [2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk [2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk [2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI [2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat [2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat [2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat [2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat [2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp [2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat [2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat [2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp [2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp [2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini [2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat [2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat [2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe [2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe [2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe [2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat < End of report > Ich sehe gerade in den Log-files, dass ich für die Erstellung von Extras.Txt und OTL.Txt ZoneAlarm noch angeschaltet hatte. Hätte ich für diesen Lauf von OTL auch alle anderen Programme (ZoneAlarm, Firefox) beenden müssen? Vielen Dank für deine Hilfe, ich wünsche dir einen schönen 3. Advent, Gruß aus Hamburg Holger Geändert von HJS (11.12.2011 um 16:01 Uhr) |
|
11.12.2011, 17:01
| #14 |
| /// Selecta Jahrusso | ukash/BKA - Virus Deinstalliere ZoneAlarm !!! Warum arbeitest du im Abgesicherten Modus ? Steht irgendwo was von abgesicherten Modus ? D:\AFComput\Downloads\bo VIRUS Warum liest du meine Anleitungen nicht, OTL soll am Desktop gespeichert werden, nicht in der Botanik -.-
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
11.12.2011, 17:16
| #15 |
| | ukash/BKA - Virus Hallo Daniel, ich arbeite im abgesicherten Modus, weil ich seit dem Virus im normalen Modus gar nichts machen konnte, nicht einmal der Task-Manager ließ sich in den Vordergrund bringen, es war immer dieser ukash/BKA Bildschirm im Vordergrund. Ausschalten über CTRL+Alt+Del ging auch nicht mehr, nur noch "Abwürgen" über den Ausschaltknopf am Computer. Anscheinend soll ich jetzt schon wieder im normalen Modus arbeiten. Das wusste ich nicht. Ich hab es überprüft, ich kann auch im normalen Modus arbeiten. Dennoch funktioniert Firefox etwas komisch, so bin ich zum Beispiel um diese Nachricht zu posten beim Anmelden, nachdem ich Benutzernamen und Passwort eingegeben habe, über die Seite find-girlfriend-.... zu ebay geleitet worden (alles im gleichen Browserfenster) und war gar nicht mehr im Trojanerboard. Soll ich irgendwelche Programme jetzt im normalen Modus noch einmal laufen lassen und die Logs hier reinstellen? Ich hoffe du hast noch ein bisschen Geduld mit mir, Gruß Holger |
|
| Themen zu ukash/BKA - Virus |
| 0x00000001, 32 bit, 32-bit, antivir, avira, bho, blockiert, browser, bundeskriminalamt, cdburnerxp, classpnp.sys, computer, dateianhang, dds.com, desktop, error, firefox, flash player, geld, geld zahlen, hal.dll, helper, home, homepage, iexplore.exe, kein fund, logfile, mahmud.exe, mozilla thunderbird, neustart., officejet, packard bell, plug-in, realtek, safer networking, sched.exe, security, server, software, spyware, srep.exe, starmoney, starten, taskmanager, trojaner, ukash, ukash trojaner, virus, windows internet |
Textbox.
Linear-Darstellung
