| |
| |||||||
Log-Analyse und Auswertung: Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.04.2012, 19:29
| #1 |
 |  Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden AntiVir hatte mir den TR/Crypt.XPACK.Gen8 am 1.4.2011 tr/crypt.zpack.gen8 gemeldet. Die gleichen Symptome wie bei "TR/Crypt.ZPACK.GEN8 - nach Start schwarzer Desktop, keine Progr./Dateien; AVIRA Warnung, Systemfehle" oder "TR/Crypt.XPACK.Gen2". Es gingen auch immer wieder dutzende angebliche Fehlermeldungen auf (System Error. Hard disk failure usw.). Eine Meldung sah wie eine Systemmeldung aus, bei der das System gescannt werden sollte. Führte aber zu einem Neustart (ich erinnere mich nicht mehr genau). Gefunden wurde dieser TR bei drei Dokumenten durch die Prozess-Suchroutine. Den letzten Report poste ich hier. Falls ich die anderen Rports auch posten soll, bitte bescheid geben. Die Dateien wurden in Quarantäne geschoben, TR tauchte später aber wieder auf, daher 3mal die Angabem aber immer mit anderem Dateinamen. Hier der Report: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 1. April 2012 18:38
Es wird nach 3569473 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BRAND_2-66GHZ
Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03.07.2011 11:24:33
AVSCAN.DLL : 10.0.5.0 57192 Bytes 03.07.2011 11:24:32
LUKE.DLL : 10.3.0.5 45416 Bytes 03.07.2011 11:24:42
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03.07.2011 11:24:44
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 17:20:54
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:52:19
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 08:55:12
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:56:01
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:07:15
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:07:16
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:07:16
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:07:17
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:07:17
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:07:17
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:07:17
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:07:17
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:07:17
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:07:18
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:07:23
VBASE015.VDF : 7.11.26.108 2048 Bytes 30.03.2012 17:07:23
VBASE016.VDF : 7.11.26.109 2048 Bytes 30.03.2012 17:07:23
VBASE017.VDF : 7.11.26.110 2048 Bytes 30.03.2012 17:07:23
VBASE018.VDF : 7.11.26.111 2048 Bytes 30.03.2012 17:07:23
VBASE019.VDF : 7.11.26.112 2048 Bytes 30.03.2012 17:07:24
VBASE020.VDF : 7.11.26.113 2048 Bytes 30.03.2012 17:07:25
VBASE021.VDF : 7.11.26.114 2048 Bytes 30.03.2012 17:07:25
VBASE022.VDF : 7.11.26.115 2048 Bytes 30.03.2012 17:07:25
VBASE023.VDF : 7.11.26.116 2048 Bytes 30.03.2012 17:07:26
VBASE024.VDF : 7.11.26.117 2048 Bytes 30.03.2012 17:07:26
VBASE025.VDF : 7.11.26.118 2048 Bytes 30.03.2012 17:07:26
VBASE026.VDF : 7.11.26.119 2048 Bytes 30.03.2012 17:07:26
VBASE027.VDF : 7.11.26.120 2048 Bytes 30.03.2012 17:07:26
VBASE028.VDF : 7.11.26.121 2048 Bytes 30.03.2012 17:07:26
VBASE029.VDF : 7.11.26.122 2048 Bytes 30.03.2012 17:07:26
VBASE030.VDF : 7.11.26.123 2048 Bytes 30.03.2012 17:07:26
VBASE031.VDF : 7.11.26.140 154624 Bytes 30.03.2012 17:07:29
Engineversion : 8.2.10.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 27.10.2011 07:52:43
AESCRIPT.DLL : 8.1.4.15 442747 Bytes 30.03.2012 17:08:21
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 10:12:16
AESBX.DLL : 8.2.5.5 606579 Bytes 14.03.2012 18:33:03
AERDL.DLL : 8.1.9.15 639348 Bytes 21.09.2011 17:46:45
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:08:15
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 16:06:51
AEHEUR.DLL : 8.1.4.10 4551031 Bytes 30.03.2012 17:08:06
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 16:30:20
AEGEN.DLL : 8.1.5.23 409973 Bytes 11.03.2012 13:20:00
AEEXP.DLL : 8.1.0.27 82293 Bytes 30.03.2012 17:08:22
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 17:57:14
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 17:26:36
AEBB.DLL : 8.1.1.0 53618 Bytes 06.11.2010 19:03:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 03.07.2011 11:24:31
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 15:49:22
AVARKT.DLL : 10.0.26.1 255336 Bytes 03.07.2011 11:24:26
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03.07.2011 11:24:29
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03.07.2011 11:24:14
RCTEXT.DLL : 10.0.64.0 98664 Bytes 03.07.2011 11:24:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4fb6becc\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Sonntag, 1. April 2012 18:38
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OnlineCmdLineScanner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DiskInfo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mounter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Software4u.IPELauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rmIhrYfwFjUdy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicPvt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRONoMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ooGiwDGEUnWAV2.exe'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ooGiwDGEUnWAV2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c51244d.qua' verschoben!
Ende des Suchlaufs: Sonntag, 1. April 2012 18:39
Benötigte Zeit: 01:01 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
65 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
64 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Heute, 4.4.2012 habe ich Antivir nochmal scannen lassen (nachdem ich am 1.4. entnervt den PC habe links liegen lassen). Antivir hat TR/Offend.kdv.585087.1 gleich 2mal gefunden. Laut Antivir in Quarantäne geschoben. Hier logfile: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012 18:58
Es wird nach 3583229 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BRAND_2-66GHZ
Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03.07.2011 11:24:33
AVSCAN.DLL : 10.0.5.0 57192 Bytes 03.07.2011 11:24:32
LUKE.DLL : 10.3.0.5 45416 Bytes 03.07.2011 11:24:42
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03.07.2011 11:24:44
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 17:20:54
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:52:19
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 08:55:12
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:56:01
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:07:15
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:07:16
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:07:16
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:07:17
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:07:17
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:07:17
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:07:17
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:07:17
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:07:17
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:07:18
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:07:23
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 16:53:46
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 16:53:51
VBASE017.VDF : 7.11.26.242 2048 Bytes 04.04.2012 16:53:51
VBASE018.VDF : 7.11.26.243 2048 Bytes 04.04.2012 16:53:51
VBASE019.VDF : 7.11.26.244 2048 Bytes 04.04.2012 16:53:52
VBASE020.VDF : 7.11.26.245 2048 Bytes 04.04.2012 16:53:53
VBASE021.VDF : 7.11.26.246 2048 Bytes 04.04.2012 16:53:53
VBASE022.VDF : 7.11.26.247 2048 Bytes 04.04.2012 16:53:54
VBASE023.VDF : 7.11.26.248 2048 Bytes 04.04.2012 16:53:55
VBASE024.VDF : 7.11.26.249 2048 Bytes 04.04.2012 16:53:55
VBASE025.VDF : 7.11.26.250 2048 Bytes 04.04.2012 16:53:55
VBASE026.VDF : 7.11.26.251 2048 Bytes 04.04.2012 16:53:56
VBASE027.VDF : 7.11.26.252 2048 Bytes 04.04.2012 16:53:56
VBASE028.VDF : 7.11.26.253 2048 Bytes 04.04.2012 16:53:56
VBASE029.VDF : 7.11.26.254 2048 Bytes 04.04.2012 16:53:56
VBASE030.VDF : 7.11.26.255 2048 Bytes 04.04.2012 16:53:57
VBASE031.VDF : 7.11.27.2 2048 Bytes 04.04.2012 16:53:57
Engineversion : 8.2.10.38
AEVDF.DLL : 8.1.2.2 106868 Bytes 27.10.2011 07:52:43
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 04.04.2012 16:56:06
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 10:12:16
AESBX.DLL : 8.2.5.5 606579 Bytes 14.03.2012 18:33:03
AERDL.DLL : 8.1.9.15 639348 Bytes 21.09.2011 17:46:45
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:08:15
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 04.04.2012 16:55:24
AEHEUR.DLL : 8.1.4.12 4604278 Bytes 04.04.2012 16:55:19
AEHELP.DLL : 8.1.19.1 254327 Bytes 04.04.2012 16:53:59
AEGEN.DLL : 8.1.5.23 409973 Bytes 11.03.2012 13:20:00
AEEXP.DLL : 8.1.0.28 82292 Bytes 04.04.2012 16:56:08
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 17:57:14
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 17:26:36
AEBB.DLL : 8.1.1.0 53618 Bytes 06.11.2010 19:03:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 03.07.2011 11:24:31
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 15:49:22
AVARKT.DLL : 10.0.26.1 255336 Bytes 03.07.2011 11:24:26
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03.07.2011 11:24:29
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03.07.2011 11:24:14
RCTEXT.DLL : 10.0.64.0 98664 Bytes 03.07.2011 11:24:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 4. April 2012 18:58
Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.585087.1
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DiskInfo.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mounter.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Software4u.IPELauncher.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvMon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'rmIhrYfwFjUdy.exe' - '51' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe>
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.585087.1
[WARNUNG] Der Prozess <rmIhrYfwFjUdy.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rmIhrYfwFjUdy.exe> wurde erfolgreich repariert.
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Eine Exception wurde abgefangen!
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicPvt.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRONoMgr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.585087.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Ich lass erstmal Antivir durchlaufen (kann dauern). Oh, gerade wieder eine Infizierung gefunden. Lasse weiter laufen. Ist durchgelaufen, weiteres Log folgt: Ein weiterer TR von Antivir gefunden. Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012 18:58
Es wird nach 3583229 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BRAND_2-66GHZ
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 4. April 2012 18:58
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\windows\system32\ntmsdata\ntmsjrnl
[HINWEIS] Die Datei ist nicht sichtbar.
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1220' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP294\A0060840.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP295\A0061625.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP309\A0063875.exe
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.585087.1
Beginne mit der Suche in 'D:\' <IBM_SERVICE>
Beginne mit der Suche in 'G:\' <Volume>
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP309\A0063875.exe
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.585087.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4528673a.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 4. April 2012 23:56
Benötigte Zeit: 3:12:52 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
23349 Verzeichnisse wurden überprüft
1349668 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1349667 Dateien ohne Befall
20357 Archive wurden durchsucht
2 Warnungen
2 Hinweise
604691 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Heute wieder hochgefahren: Hintergrund immernoch schwarz bzw. blau und Die Programmverknüpfungen auf dem Desktop immernoch weg. Ich weiss leider nicht, ob auch alle Viren/Tr. weg sind. Jetzt brauche ich Eure Hilfe! Die Dateien von OTL kommen im folgenden: OTL.txt Code:
ATTFilter OTL logfile created on: 05.04.2012 18:26:29 - Run 1 OTL by OldTimer - Version 3.2.39.2 Folder = H:\so startbar Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 766,98 Mb Total Physical Memory | 197,28 Mb Available Physical Memory | 25,72% Memory free 2,71 Gb Paging File | 2,10 Gb Available in Paging File | 77,71% Paging File free Paging file location(s): C:\pagefile.sys 2048 2048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 78,14 Gb Total Space | 55,76 Gb Free Space | 71,36% Space Free | Partition Type: NTFS Drive D: | 27,99 Gb Total Space | 24,07 Gb Free Space | 86,02% Space Free | Partition Type: FAT32 Drive G: | 359,62 Gb Total Space | 43,80 Gb Free Space | 12,18% Space Free | Partition Type: NTFS Drive H: | 1,86 Gb Total Space | 1,42 Gb Free Space | 76,31% Space Free | Partition Type: FAT32 Drive I: | 1,88 Gb Total Space | 0,54 Gb Free Space | 28,42% Space Free | Partition Type: FAT Computer Name: BRAND_2-66GHZ | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.04.01 20:15:18 | 000,593,920 | ---- | M] (OldTimer Tools) -- H:\so startbar\OTL.exe PRC - [2012.01.06 23:56:36 | 000,132,608 | -H-- | M] (Marx Softwareentwicklung - www.software4u.de) -- C:\Programme\Software4u\iDevice Manager\Software4u.IPELauncher.exe PRC - [2011.11.03 16:44:28 | 000,497,280 | -H-- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe PRC - [2011.11.03 16:44:24 | 000,738,944 | -H-- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ForceField.exe PRC - [2011.10.24 22:32:00 | 000,055,144 | -H-- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2011.10.24 09:53:38 | 002,565,632 | -H-- | M] (Deutsche Telekom AG) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe PRC - [2011.07.03 13:24:30 | 000,269,480 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.29 21:33:02 | 000,136,360 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.06 21:03:58 | 000,281,768 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.10.13 00:11:36 | 000,999,384 | -H-- | M] (Crystal Dew World) -- C:\Programme\CrystalDiskInfo\DiskInfo.exe PRC - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () -- C:\Programme\Dokan\DokanLibrary\mounter.exe PRC - [2010.07.04 20:07:40 | 000,238,952 | -H-- | M] (Teruten) -- C:\WINDOWS\system32\FsUsbExService.Exe PRC - [2010.06.17 21:56:44 | 000,370,176 | -H-- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe PRC - [2010.01.14 23:10:53 | 000,076,968 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.06.12 11:55:48 | 000,028,672 | -H-- | M] (Lenovo Group Limited) -- c:\Programme\Lenovo\System Update\SUService.exe PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.03.04 11:34:20 | 000,487,424 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe PRC - [2008.03.04 11:34:12 | 001,122,304 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe PRC - [2008.02.11 12:07:54 | 001,097,728 | -H-- | M] (Samsung Electronics, Inc.) -- C:\Programme\MagicRotation\MagicPvt.exe PRC - [2007.09.26 18:34:46 | 000,644,408 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe PRC - [2007.04.26 15:33:52 | 000,049,152 | -H-- | M] (Primax Electronics Ltd.) -- C:\WINDOWS\system32\ico.exe PRC - [2005.10.06 05:20:00 | 000,122,940 | -H-- | M] (Sonic Solutions) -- C:\WINDOWS\system32\dla\DLACTRLW.EXE PRC - [2005.09.27 23:26:12 | 000,622,700 | -H-- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe PRC - [2004.09.22 10:53:14 | 000,053,248 | -H-- | M] (Alcor Micro, Corp.) -- C:\WINDOWS\system32\DrvMon.exe PRC - [2004.07.27 16:50:18 | 000,081,920 | -H-- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe PRC - [2003.03.11 17:24:40 | 000,086,016 | -H-- | M] (Intel(R) Corporation) -- C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe PRC - [2002.09.21 01:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ========== Modules (No Company Name) ========== MOD - [2012.02.17 15:13:00 | 000,256,000 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\bd3bfd5b6ef659dac4d6cccb34577d33\SMDiagnostics.ni.dll MOD - [2012.02.17 15:12:50 | 017,403,904 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\1cdcd6d97627d345d5ff446e6ec88b97\System.ServiceModel.ni.dll MOD - [2012.02.17 15:12:16 | 002,345,472 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\f2532204217dc10f152afd077b09927c\System.Runtime.Serialization.ni.dll MOD - [2012.02.17 15:12:09 | 001,070,080 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\8ef05061cd205c4f2a8583d97f32a603\System.IdentityModel.ni.dll MOD - [2012.02.17 14:46:16 | 011,817,472 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\29bdc8352d3c26e3c572ea60639dec3b\System.Web.ni.dll MOD - [2012.02.17 14:44:40 | 012,430,848 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ad99ac6b5666edb8ee742dd64f9578af\System.Windows.Forms.ni.dll MOD - [2012.02.17 14:44:25 | 001,587,200 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\9351cf29bb1ba951e45a9b3b0edab937\System.Drawing.ni.dll MOD - [2012.02.17 14:44:09 | 005,450,752 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\77e1279cbf4eecfb0284b63316fe43fe\System.Xml.ni.dll MOD - [2012.02.17 14:43:50 | 000,971,264 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\94a40f415bfa947e251888bbe88bb973\System.Configuration.ni.dll MOD - [2012.02.17 14:43:46 | 000,212,992 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\11dcb806c92f55111f5fa9f1a90e3bdd\System.ServiceProcess.ni.dll MOD - [2012.02.17 14:43:05 | 007,953,408 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\9e3803cd2a11f056291862e306a8e2b2\System.ni.dll MOD - [2012.01.06 23:56:36 | 000,308,224 | -H-- | M] () -- C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceLib.dll MOD - [2011.10.14 19:45:08 | 011,490,816 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\ca87ba84221991839abbe7d4bc9c6721\mscorlib.ni.dll MOD - [2011.09.27 08:23:00 | 000,087,912 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 08:22:40 | 001,242,472 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () -- C:\Programme\Dokan\DokanLibrary\mounter.exe MOD - [2010.06.17 21:56:52 | 000,116,224 | -H-- | M] () -- C:\WINDOWS\system32\redmonnt.dll MOD - [2010.01.28 14:57:53 | 000,355,688 | -H-- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2009.05.19 16:34:38 | 000,315,392 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2009.05.19 16:34:34 | 000,167,936 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_de_b77a5c561934e089\System.Xml.resources.dll MOD - [2009.05.19 16:34:33 | 000,040,960 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll MOD - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ========== Win32 Services (SafeList) ========== SRV - [2011.11.09 21:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon) SRV - [2011.11.03 16:44:28 | 000,497,280 | -H-- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc) SRV - [2011.10.24 22:32:00 | 000,055,144 | -H-- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2011.10.24 09:53:38 | 002,565,632 | -H-- | M] (Deutsche Telekom AG) [Auto | Running] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service) SRV - [2011.07.03 13:24:30 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.29 21:33:02 | 000,136,360 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () [Auto | Running] -- C:\Programme\Dokan\DokanLibrary\mounter.exe -- (DokanMounter) SRV - [2010.07.04 20:07:40 | 000,238,952 | -H-- | M] (Teruten) [Auto | Running] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService) SRV - [2009.06.12 11:55:48 | 000,028,672 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- c:\Programme\Lenovo\System Update\SUService.exe -- (SUService) SRV - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService) SRV - [2008.03.04 11:34:12 | 001,122,304 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- (TVT Scheduler) SRV - [2007.09.26 18:34:46 | 000,644,408 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe -- (ThinkVantage Registry Monitor Service) SRV - [2005.09.27 23:26:12 | 000,622,700 | -H-- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper) SRV - [2003.03.03 13:33:40 | 000,143,360 | -H-- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\NCS\Sync\NetSvc.exe -- (NetSvc) SRV - [2002.09.21 01:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default)) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\PMEMNT.SYS -- (PMEM) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pcdrndisuio.sys -- (PcdrNdisuio) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2011.11.09 21:01:38 | 000,525,840 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (Vsdatant) DRV - [2011.11.03 16:44:20 | 000,027,016 | -H-- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL) DRV - [2011.07.03 13:24:44 | 000,138,192 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.03 13:24:44 | 000,066,616 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.09.16 17:02:33 | 000,035,040 | -H-- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3) DRV - [2010.07.15 09:44:20 | 000,013,192 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\epmntdrv.sys -- (epmntdrv) DRV - [2010.07.15 09:44:20 | 000,008,456 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\EuGdiDrv.sys -- (EuGdiDrv) DRV - [2010.07.05 14:39:30 | 000,084,608 | -H-- | M] (Windows (R) Win 7 DDK provider) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\dokan.sys -- (Dokan) DRV - [2010.06.14 10:32:54 | 000,036,608 | -H-- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk) DRV - [2010.04.27 04:25:14 | 000,132,608 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_mdm.sys -- (ssm_mdm) DRV - [2010.04.27 04:25:14 | 000,104,448 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_bus.sys -- (ssm_bus) SAMSUNG Mobile USB Device II 1.0 driver (WDM) DRV - [2010.04.27 04:25:14 | 000,014,848 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_mdfl.sys -- (ssm_mdfl) DRV - [2009.05.11 11:12:49 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.27 02:16:28 | 000,012,672 | -H-- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz132_x32.sys -- (cpuz132) DRV - [2009.02.13 12:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 20:56:06 | 000,088,320 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx) DRV - [2006.02.21 21:46:26 | 001,505,792 | -H-- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2005.11.14 03:26:34 | 000,009,728 | RH-- | M] (Samsung Electronics, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\magicpvt.sys -- (magicpvt) DRV - [2005.10.06 05:20:00 | 000,094,332 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAUDFAM.SYS -- (DLAUDFAM) DRV - [2005.10.06 05:20:00 | 000,087,036 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAUDF_M.SYS -- (DLAUDF_M) DRV - [2005.10.06 05:20:00 | 000,086,524 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAIFS_M.SYS -- (DLAIFS_M) DRV - [2005.10.06 05:20:00 | 000,025,628 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLABOIOM.SYS -- (DLABOIOM) DRV - [2005.10.06 05:20:00 | 000,014,684 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAOPIOM.SYS -- (DLAOPIOM) DRV - [2005.10.06 05:20:00 | 000,006,364 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAPoolM.SYS -- (DLAPoolM) DRV - [2005.10.06 05:20:00 | 000,002,496 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLADResN.SYS -- (DLADResN) DRV - [2005.08.25 12:16:52 | 000,005,628 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM) DRV - [2005.08.25 12:16:16 | 000,022,684 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N) DRV - [2003.06.17 12:39:00 | 000,009,856 | -H-- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc) DRV - [2003.01.20 23:28:18 | 000,018,048 | -H-- | M] (Primax Electronics Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pelps2m.sys -- (pelps2m) DRV - [2003.01.10 14:55:32 | 000,016,384 | -H-- | M] (Primax Electronics Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PELMouse.SYS -- (pelmouse) DRV - [2001.08.18 13:00:00 | 000,063,232 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb) DRV - [2001.08.18 13:00:00 | 000,055,936 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx) DRV - [2001.08.10 07:00:00 | 000,003,252 | -H-- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.SYS -- (PQNTDrv) DRV - [2001.01.01 00:32:57 | 000,030,144 | -H-- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd) DRV - [2000.07.24 01:01:00 | 000,019,537 | -H-- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\BRPAR.SYS -- (BrPar) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZon1.dll (Conduit Ltd.) IE - HKCU\..\SearchScopes,DefaultScope = {AD767AC2-0042-410B-AA2B-23C18214E7DF} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{AD767AC2-0042-410B-AA2B-23C18214E7DF}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm Security Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.50 FF - prefs.js..extensions.enabledItems: {ada4b710-8346-4b82-8199-5de2b400a6ae}:1.9.9.3.1 FF - prefs.js..extensions.enabledItems: toggleprivatebrowsing@supernova00.biz:1.8 FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:2.1.5 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {91da5e8a-3318-4f8c-b67e-5964de3ab546}:3.3.3.2 FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.240.0 FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900 FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:2.0.2 FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10 FF - prefs.js..extensions.enabledItems: brief@mozdev.org:1.5.4 FF - prefs.js..extensions.enabledItems: feedly@devhd:5.5 FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.14.2 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.1.0.2 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&q=" FF - prefs.js..network.proxy.type: 2 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Programme\DivX\DivX Content Uploader\npUpload.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX OVS Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.4: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2010.12.10 00:36:29 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2010.12.10 00:36:29 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2012.03.10 11:14:37 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.26 14:25:23 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.22 12:07:57 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.12.22 12:07:58 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.12.22 12:07:57 | 000,000,000 | -H-D | M] [2010.09.07 20:15:10 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.09.07 20:15:10 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2012.03.31 10:15:05 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions [2011.12.08 00:06:57 | 000,000,000 | -H-D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3} [2012.03.17 13:23:45 | 000,000,000 | -H-D | M] (Flagfox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b} [2010.07.30 22:27:55 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.02.24 20:51:01 | 000,000,000 | -H-D | M] (ReminderFox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{ada4b710-8346-4b82-8199-5de2b400a6ae} [2011.04.17 13:11:28 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\brief@mozdev.org [2009.07.12 18:44:00 | 000,000,000 | -H-D | M] (Toggle Private Browsing) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\toggleprivatebrowsing@supernova00.biz [2012.02.25 20:21:18 | 000,000,000 | -H-D | M] (Zotero) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\zotero@chnm.gmu.edu [2010.08.19 22:08:14 | 000,000,939 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\searchplugins\conduit.xml [2011.11.30 19:48:56 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{D40F5E7B-D2CF-4856-B441-CC613EEFFBE3}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\FEEDLY@DEVHD.XPI [2012.03.26 14:25:22 | 000,097,208 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010.11.12 19:53:06 | 000,472,808 | -H-- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2010.01.14 00:46:00 | 000,063,488 | -H-- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll [2012.02.06 20:43:08 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.02.06 20:43:08 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.02.06 20:43:08 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.02.06 20:43:08 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.02.06 20:43:08 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.02.06 20:43:08 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.10.04 20:10:17 | 000,437,691 | RH-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15053 more lines... O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\DLASHX_W.DLL (Sonic Solutions) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZon1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\irprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation) O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\dla\DLACTRLW.EXE (Sonic Solutions) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe (Samsung Electronics, Inc.) O4 - HKLM..\Run: [Mouse Suite 98 Daemon] C:\WINDOWS\System32\ico.exe (Primax Electronics Ltd.) O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe (Intel(R) Corporation) O4 - HKLM..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited) O4 - HKLM..\Run: [UIUCU] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S File not found O4 - HKLM..\Run: [ZoneAlarm] C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [CrystalDiskInfo] C:\Programme\CrystalDiskInfo\DiskInfo.exe (Crystal Dew World) O4 - HKCU..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe (Alcor Micro, Corp.) O4 - HKCU..\Run: [iDevice Manager Launcher] C:\Programme\Software4u\iDevice Manager\Software4u.IPELauncher.exe (Marx Softwareentwicklung - www.software4u.de) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265466719921 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1265466711250 (MUWebControl Class) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F3387CD6-D0FF-4C2F-9472-8D3ED6C91F54}: NameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2007.06.21 19:33:49 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.BBB -- [ FAT32 ] O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ] O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.ccc -- [ FAT32 ] O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,135 | -H-- | M] () - D:\AUTOEXEC.USB -- [ FAT32 ] O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell - "" = AutoRun O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell\AutoRun\command - "" = G:\loader.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012.04.04 19:04:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2012.04.01 18:33:41 | 000,000,000 | -H-D | C] -- C:\Programme\ESET [2012.04.01 17:50:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2012.04.01 17:46:48 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2012.04.01 17:08:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\NtmsData [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.04.05 18:21:09 | 000,001,170 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.04.05 18:19:41 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\PSLOG [2012.04.05 18:19:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.04.05 18:19:27 | 000,000,016 | -H-- | M] () -- C:\WINDOWS\System32\magicpvt.dat [2012.04.05 18:19:26 | 804,311,040 | -HS- | M] () -- C:\hiberfil.sys [2012.04.04 18:53:11 | 000,415,916 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2012.03.31 19:44:27 | 000,005,493 | -H-- | M] () -- C:\WINDOWS\wincmd.ini [2012.03.26 20:33:34 | 000,015,398 | -H-- | M] () -- C:\WINDOWS\Administrator.acl [2012.03.16 19:24:07 | 000,126,912 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.03.14 21:05:12 | 000,001,374 | -H-- | M] () -- C:\WINDOWS\imsins.BAK [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.04.01 17:34:17 | 804,311,040 | -HS- | C] () -- C:\hiberfil.sys [2012.02.15 20:07:09 | 000,003,072 | -H-- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.12.30 19:58:01 | 000,110,592 | -H-- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll [2011.12.30 19:58:01 | 000,036,608 | -H-- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys [2011.12.30 19:57:52 | 000,002,528 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc [2011.12.23 12:24:31 | 000,074,720 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2011.11.21 21:32:01 | 000,018,876 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.12.20 10:46:14 | 000,484,352 | -H-- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2010.12.20 00:19:12 | 002,217,088 | -H-- | C] () -- C:\WINDOWS\System32\BootMan.exe [2010.12.20 00:19:12 | 000,086,408 | -H-- | C] () -- C:\WINDOWS\System32\setupempdrv03.exe [2010.12.20 00:19:12 | 000,014,848 | -H-- | C] () -- C:\WINDOWS\System32\EuEpmGdi.dll [2010.12.20 00:19:12 | 000,013,192 | -H-- | C] () -- C:\WINDOWS\System32\epmntdrv.sys [2010.12.20 00:19:12 | 000,008,456 | -H-- | C] () -- C:\WINDOWS\System32\EuGdiDrv.sys [2010.11.12 23:05:56 | 000,212,992 | -H-- | C] () -- C:\WINDOWS\System32\Bot.dll [2010.11.12 23:05:56 | 000,000,101 | -H-- | C] () -- C:\WINDOWS\PSXLPR.INI [2010.10.22 23:31:01 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2010.10.22 23:31:01 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\unredmon.exe [2010.10.03 16:59:21 | 000,050,688 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.05 14:39:26 | 000,044,032 | -H-- | C] () -- C:\WINDOWS\System32\dokan.dll ========== LOP Check ========== [2011.10.12 19:37:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AAV [2010.11.03 22:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint [2010.12.20 10:03:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DeepBurner [2001.01.01 00:32:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Downloaded Installations [2010.12.20 10:46:19 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeAudioPack [2011.07.24 15:58:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeCDRipper [2011.07.26 21:13:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InfraRecorder [2007.06.22 09:21:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterVideo [2007.06.22 09:21:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech [2010.12.10 00:36:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Local [2010.02.06 18:03:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org [2009.05.02 13:17:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera [2011.12.30 19:57:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung [2012.01.08 16:12:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Software4u [2010.09.07 20:15:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird [2011.12.22 17:49:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WindSolutions [2012.03.03 21:29:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView [2011.10.12 19:37:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2011.11.16 20:49:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint [2011.12.05 13:59:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotokasten comfort [2010.10.22 23:31:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF [2001.01.01 00:33:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lenovo [2009.07.14 15:21:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound [2011.12.23 18:51:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2007.06.21 22:10:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC-Doctor [2008.03.25 22:19:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCDr [2011.12.30 19:58:55 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung [2008.03.14 10:27:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos [2011.12.22 17:49:52 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WindSolutions [2011.11.21 21:19:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2011.12.22 13:02:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DD034EDF-8A92-4F84-A64A-26BF9B7AE354} ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 05.04.2012 18:26:29 - Run 1
OTL by OldTimer - Version 3.2.39.2 Folder = H:\so startbar
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
766,98 Mb Total Physical Memory | 197,28 Mb Available Physical Memory | 25,72% Memory free
2,71 Gb Paging File | 2,10 Gb Available in Paging File | 77,71% Paging File free
Paging file location(s): C:\pagefile.sys 2048 2048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,14 Gb Total Space | 55,76 Gb Free Space | 71,36% Space Free | Partition Type: NTFS
Drive D: | 27,99 Gb Total Space | 24,07 Gb Free Space | 86,02% Space Free | Partition Type: FAT32
Drive G: | 359,62 Gb Total Space | 43,80 Gb Free Space | 12,18% Space Free | Partition Type: NTFS
Drive H: | 1,86 Gb Total Space | 1,42 Gb Free Space | 76,31% Space Free | Partition Type: FAT32
Drive I: | 1,88 Gb Total Space | 0,54 Gb Free Space | 28,42% Space Free | Partition Type: FAT
Computer Name: BRAND_2-66GHZ | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\Winword.exe" /n ()
http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend)
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceManager.exe" = C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceManager.exe:*:Enabled:iDevice Manager -- (Marx Softwareentwicklung - www.software4u.de)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{13CD417D-F1F1-4AC4-945D-FDDEB884756F}" = Microsoft Baseline Security Analyzer 2.2
"{1CB92574-96F2-467B-B793-5CEB35C40C29}" = Image Resizer Powertoy for Windows XP
"{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}" = PowerQuest PartitionMagic 7.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{257F2279-6843-433E-9060-15BAB966F20D}" = Steuer-Spar-Erklärung Plus 2011
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java(TM) 6 Update 16
"{2ADE2157-7A5E-122C-B51D-EB8A01B15943}" = DeepBurner v1.9.0.228
"{2B120B1D-1908-4FB3-8C9D-72128A74E80A}" = ZoneAlarm Security
"{2FCE4FC5-6930-40E7-A4F1-F862207424EF}" = InterVideo WinDVD Creator 2
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3F8EB641-6AD2-45DE-A8DD-91D7BDD39CDE}" = Microsoft USB Flash Drive Manager
"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{6CE96A14-61E2-48CC-837E-22710A953ADE}" = IBM Themes
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{78D7D7CD-A06B-4514-ACBD-8055BF945A8E}" = InfoBibliothek 2
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7FC3BBEC-5A91-41B0-9CB8-960EC4421411}" = InterVideo WinDVD Creator 3
"{7FD8B0C1-CDDA-4B4D-A577-B2E3570EA3A3}_is1" = iExplorer 2.2.1.3
"{80380166-A872-4B78-B98A-33447A032BDF}" = ThinkCentre Wallpaper
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{8675339C-128C-44DD-83BF-0A5D6ABD8297}" = System Update
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = Sonic RecordNow!
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A386CC19-1E79-4D4C-A54B-C8747871E4AD}" = ZoneAlarm Firewall
"{A790BEB1-BCCF-4EC6-807B-5708B36E8A79}" = Intel(R) PROSet
"{AC76BA86-7AD7-1031-7B44-A83000000003}" = Adobe Reader 8.3.1 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5428E17-1886-4DBB-A148-DACBB60D7A3D}" = MagicRotation
"{B7DBF6E8-0D17-4BE4-853B-ACD6EFBD4A1F}" = iTunes
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCD2BAD2-0919-40CB-80CC-E9538B0E4C2E}" = Steuer-Spar-Erklärung 2012
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF44C7A5-5705-41E4-BE84-A9A42977AB05}" = IBM Cleanup Utility
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D5A4CE1B-59ED-4D85-A3B2-6E0AFF448E4B}" = Diskeeper Lite
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F7E1CA14-B39D-452A-960B-39423DDDD933}" = DriveImage XML (Private Edition)
"{FD331A3B-F7A5-4C31-B8D4-DF413C85AF7A}" = Message Center Plus
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Brother 1450" = Brother 1450
"BROWNIE" = Brownie
"CPUID CPU-Z_is1" = CPUID CPU-Z 1.52.2
"CrystalDiskInfo_is1" = CrystalDiskInfo 3.9.1
"DivX Setup.divx.com" = DivX-Setup
"DokanLibrary" = Dokan Library 0.5.3
"DVD Decrypter" = DVD Decrypter (Remove Only)
"EASEUS Partition Master Home Edition_is1" = EASEUS Partition Master 6.5.2 Home Edition
"ESET Online Scanner" = ESET Online Scanner v3
"ExpressBurn" = Express Burn
"FE5AE7DC-7B01-4263-A94C-B4526C276550_is1" = iDevice Manager
"fotokasten comfort_is1" = fotokasten comfort 4.2
"Free Mp3 Wma Converter_is1" = Free Mp3 Wma Converter V 1.91
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 9.00" = GPL Ghostscript 9.00
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InfraRecorder" = InfraRecorder
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"JAP" = JAP
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"MouseSuite98" = Lenovo Mouse Suite
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"Mozilla Thunderbird 11.0.1 (x86 de)" = Mozilla Thunderbird 11.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Netzmanager" = Netzmanager
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Office8.0" = Microsoft Office 97, Professional Edition
"Opera 11.60.1185" = Opera 11.60
"PC-Doctor 5 for Windows" = PC-Doctor 5 für Windows
"Picasa 3" = Picasa 3
"PrintServer Utilities" = PrintServer Utilities
"PROSet" = Intel(R) Network Connections Drivers
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Totalcmd" = Total Commander (Remove or Repair)
"VLC media player" = VLC media player 1.1.4
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XnView_is1" = XnView 1.91
"xp-AntiSpy" = xp-AntiSpy 3.96-4
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm Free" = ZoneAlarm Free
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"CopyTrans Suite" = CopyTrans Suite Remove Only
"Winamp Detect" = Winamp Erkennungs-Plug-in
========== Last 10 Event Log Errors ==========
[ Lenovo-Message Center Plus/Admin Events ]
Error - 27.12.2010 14:11:52 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 2
Description = Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt. ->
Exception message: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
Error - 27.12.2010 14:25:01 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 21.01.2011 11:24:20 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 26.01.2011 06:46:28 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 26.01.2011 10:40:56 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 26.01.2011 14:47:33 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 27.01.2011 07:25:06 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 27.01.2011 15:31:23 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
Error - 05.02.2011 14:43:29 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
[ System Events ]
Error - 04.04.2012 15:11:40 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 04.04.2012 15:11:42 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 04.04.2012 15:47:36 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 04.04.2012 15:47:39 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 04.04.2012 15:54:56 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 04.04.2012 15:54:58 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
Error - 05.04.2012 12:20:13 | Computer Name = BRAND_2-66GHZ | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 05.04.2012 12:20:39 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7000
Description = Der Dienst "PMEM" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 05.04.2012 12:20:39 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
Error - 05.04.2012 12:21:25 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7023
Description = Der Dienst "WMI-Leistungsadapter" wurde mit folgendem Fehler beendet:
%%2147500037
< End of report >
Danke im voraus |
|
09.04.2012, 19:15
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenZitat:
Zitat:
__________________ |
|
12.04.2012, 20:15
| #3 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Habe endlich Zeit gefunden nach meiner momentanen hohen Arbeitsbelastung im Job mich um dieses Trojanerproblem zu kümmern:
__________________Leider musste ich zuletzt aus Termingründen den ESET Online Scanner canceln. Es besteht kein Log. Der ESEt will nach dem starten nicht mehr updaten. Sagt, dass schon Virendef. runtergeladen und upgedatet werden soll. Fragt, ob ein proxy an ist, was definitv nicht der Fall ist. Habe alle möglichen Blocker ausgeschaltet (Windows Firewall, Zonealarm deinstalled, interne Blocker von IE etc.). Nix hat funktioniert. Bin jetzt ratlos. Please advise. Anderer Virenscanner? Kurze Frage von general Interest: Warum ist Zonealarm Müll? Habe keine Antworten über Google gefunden. Habe letztens bei Onlinezeitung gelesen (weiss nicht mehr wo), dass Vorteil anderer Firewalls gegenüber Windows Firewall ist, dass auch ausgehende Programme geblockt werden und das Handling des ein- und ausgehenden Verkehrs besser läuft. |
|
12.04.2012, 22:02
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenZitat:
Falsche Proxy Einstellungen entfernen
  Zitat:
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden: Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei? personal firewalls ? Wiki ? ubuntuusers.de Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...  Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
13.04.2012, 07:01
| #5 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Danke für die Links zu den Firewalls, die ich mir später ansehen werde. Die Proxy-Einstellungen sehe ich mir heute abend mal an. Habe jetzt mal über Nacht die Disinfect-CD von der c't mit den Virenscannern Kaspersky, Bitdefender, clamav durchlaufen lassen. Haben zum Glück nichts gefunden. Hier die Logs nacheinander gepostet (aber nur die Kurzfassung, da mehr leider das disinfected-cd nicht zulässt): Bitdefender Code:
ATTFilter //
// BitDefender scan report
//
// Time: Thu Apr 12 22:29:52 2012
// Command line: --log=/tmp/LOG_bitdefender.log /media/IBM_PRELOAD/WINDOWS
// Core: AVCORE v2.1 Unix/i386 11.0.0.26 (Nov 17, 2011)
// Engines: scan: 15, unpack: 10, archive: 49, mail: 7
// Total signatures: 7062992
//
----------- SCAN SUMMARY -----------
Known viruses: 1190792
Engine version: 0.97.3
Scanned directories: 4230
Scanned files: 33990
Infected files: 0
Data scanned: 8952.60 MB
Data read: 8361.07 MB (ratio 1.07:1)
Time: 3314.396 sec (55 m 14 s)
Code:
ATTFilter 2012-04-12 23:44:43 Scan_Objects$0006 starting 1%
; --- Settings ---
; Action on detect: Disinfect automatically
; Scan objects: All objects
; Try disinfect: No
; Try delete: No
; Try delete container: No
; Exclude by mask: No
; Include by mask: No
; Objects to scan:
; "/media/IBM_PRELOAD/WINDOWS" Enable=Yes Recursive=Yes
; ------------------
2012-04-12 23:44:43 Scan_Objects$0006 running 1%
2012-04-13 00:05:33 Scan_Objects$0006 completed
; --- Statistics ---
; Time Start: 2012-04-12 23:44:08
; Time Finish: 2012-04-13 00:05:30
; Completion: 100%
; Processed objects: 66960
; Total detected: 0
; Detected exact: 0
; Suspicions: 0
; Treats detected: 0
; Untreated: 0
; Disinfected: 0
; Quarantined: 0
; Deleted: 0
; Skipped: 0
; Archived: 654
; Packed: 1355
; Password protected: 0
; Corrupted: 0
; Errors: 0
; Last object:
; ------------------
clamav Code:
ATTFilter ----------- SCAN SUMMARY -----------
Known viruses: 1190792
Engine version: 0.97.3
Scanned directories: 4230
Scanned files: 33990
Infected files: 0
Data scanned: 8952.60 MB
Data read: 8361.07 MB (ratio 1.07:1)
Time: 3314.396 sec (55 m 14 s)
Ich habe ESET dann in den Einstellungen/Software deinstalliert ... siehe da es funktionierte. Ist jetzt durchgelaufen und hat 9 infizeitre Dateien gefunden. Leider ist die Log-Datei nicht unter dem benannten Ordner (siehe http://www.trojaner-board.de/80603-e...ner-nod32.html) zu finden. Entweder es wurde versteckt oder es wurde nicht angelegt. Seltsam. Was jetzt? |
|
15.04.2012, 14:17
| #6 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Ach ja, vergessen, hier weitere Info: Zonealarm ist deinstalliert. Der tr/crypt.zpack.gen8 und tr/offend.kdv.585087.1 wurden von Antivir in Quarantäne geschoben. Die vom ESET Online scanner gefundenen infizierten Dateien wurde laut ESET gelöscht. Leider habe ich immer noch das Problem des leeren Desktops und der nicht vorhandenen Dateistruktur. Ich bin mir sicher, dass diese Dateistruktur noch irgendwo vorhanden ist und die Dateien auch noch vorhanden. Anscheinend nur ein Pointer durch den TR verschoben? Bräuchte Anweisung, wie man das ganze wieder herstellt. Soll ich nochmal einen virenscan mit einem weiteren Virenscanner machen? Danke im voraus. |
|
15.04.2012, 16:03
| #7 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.04.2012, 18:39
| #8 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Wie schon vorher geschrieben ist weder unter C:\Programme\Eset\EsetOnlineScanner\log.txt (oder C:\Programme\Eset\log.txt) diese log-Datei zu finden. Das einzige "log", das ich vom ESET habe folgt hier: Code:
ATTFilter G:\~neue Software\Setup_KRAC_EN.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\YouTubeDownloaderSetup34.exe Variante von Win32/Toolbar.Widgi Anwendung gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeConverter.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeFlvConverter.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeVideoConverter.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_MoviesToDVD.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\Burner\Setup_FreeBurner.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
G:\~neue Software\DVDRipper prüfen\DVD Smart Ripper.exe Variante von MSIL/Solimba.A Anwendung gelöscht - in Quarantäne kopiert
G:\~neue Software\Video+Audio\Setup_FreeScreenVideo.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert
Ich hoffe, dass dann eine log-Datei abgelegt wird. Jetzt, weiss ich was das Problem ist. Die Anleitung unter http://www.trojaner-board.de/80603-e...ner-nod32.html ist nicht verständlich/vollständig. Ich habe aus einer Deiner Antworten (http://www.trojaner-board.de/112793-...n-verlust.html) den richtigen Zugriff gefunden ("%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"). Über diesen ist anscheinend das ESET-log zu öffnen. Leider etwas zu spät. Jetzt muss ich den kompletten scan abwarten, da die alte log-datei wahrscheinlich überschrieben wurde. Mist. Ich bitte um Überarbeitung der Anleitung: hxxp://www.trojaner-board.de/80603-eset-online-scanner-nod32.html. Geändert von onoff (19.04.2012 um 18:48 Uhr) |
|
19.04.2012, 18:55
| #9 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.04.2012, 19:15
| #10 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Hallo Arne, Unter der folgenden Anleitung "http://www.trojaner-board.de/80603-e...er-nod32.html" steht "Eset Online Scanner (NOD32) Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT. Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten. Dein Anti-Virus-Programm während des Scans deaktivieren. Button "ESET Online Scanner" drücken. Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren. Das Firefox-Addon auf dem Desktop speichern und dann installieren. IE-User müssen das Installieren eines ActiveX Elements erlauben. Nutzungsbedingungen akzeptieren und auf den Button "Start" drücken. Einen Haken bei "Entdeckte Bedrohungen entfernen" und "Archive prüfen" machen. Start drücken. Signaturen werden heruntergeladen. Der Scan beginnt automatisch. Beenden drücken. Browser schließen. Explorer öffnen. C:\Programme\Eset\EsetOnlineScanner\log.txt (oder C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen. Logfile posten. " Ich habe mit dem Explorer danach gesucht und kein Logfile gefunden. Aber mit dem Befehl "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt" unter Ausführen konnte ich ein aktuelles ESET log-file öffnen. Hier der Beweis: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 05:37:47
# local_time=2012-04-19 07:37:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 94 518 100337649 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1557833 1557833 0 0
# scanned=2422
# found=0
# cleaned=0
# scan_time=1215
esets_scanner_update returned -1 esets_gle=53251
Geändert von onoff (19.04.2012 um 19:29 Uhr) |
|
19.04.2012, 19:17
| #11 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefundenZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.04.2012, 19:33
| #12 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Hallo Arne, Das ist natürlich blöd... Dachte, das wäre Eure aktuelle... Dummerweise habe ich dadurch ne falsche Entscheidung gefällt. Ach ja, zu den Logs: bisher habe das Log-file von Anitvir und von OTL gepostet. ESET kommt jetzt noch. Sollte ich mir unhide besorgen, da ich unter start und auf dem desktop nix finde aber unter der disìnfected cd alle Dateien sehen konnte? Muss für heute mich verabschieden (fam. Verpflichtungen) Gruß onoff Hallo Arne, hier das Logfile vom ESET: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 05:37:47
# local_time=2012-04-19 07:37:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 94 518 100337649 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1557833 1557833 0 0
# scanned=2422
# found=0
# cleaned=0
# scan_time=1215
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 08:49:04
# local_time=2012-04-19 10:49:04 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 94 1777 100338908 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1559092 1559092 0 0
# scanned=313033
# found=0
# cleaned=0
# scan_time=11433
Warte auf weitere Anweisungen. Gruß onoff |
|
20.04.2012, 08:42
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Hast du schon Malwarebytes ausgeführt?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.04.2012, 17:51
| #14 |
| | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden OK, hier Malewarebytes Quickscan: Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.20.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: BRAND_2-66GHZ [Administrator] 20.04.2012 18:30:06 mbam-log-2012-04-20 (18-30-06).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 192812 Laufzeit: 5 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 7 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Jetzt noch einen MAlewarebytes Vollscan? Gruß Onoff |
|
20.04.2012, 20:32
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden Ja mach bitte einen Vollscan mit Malwarebytes. Denk bitte ans Update vorher (Updatebutton von Malwarebytes klicken) Überprüf alle lokalen Festplatten, nach Möglichkeit auch USB-Sticks und externe Platten
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden |
| .dll, 0x00000001, 7-zip, antivir, avira, avira warnung, brief, conduit, cpu-z, crystaldiskinfo, decrypter, desktop, dllhost.exe, einstellungen, fontcache, iexplore.exe, infiziert, internet browser, lenovo, logfile, löschen, microsoft, modul, monitor, mozilla thunderbird, neustart, nicht gefunden, nodrives, nt.dll, plug-in, programm, prozesse, quelldatei, registry, safer networking, searchscopes, services.exe, software, super, svchost.exe, temp, total commander, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen8, tr/crypt.zpack.gen8, tr/offend.kdv.585087.1, trojaner, version=1.0, verweise, warnung, windows, windows internet, winlogon.exe |
Linear-Darstellung
