| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ich habe mir einen Redirect Virus eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.04.2012, 18:36
| #1 |
| |  Ich habe mir einen Redirect Virus eingefangen Hallo zusammen! Als erstes hab ichs mit Selbsthilfe probiert. Ich hab ein bißchen gegoogelt, da wurde mir empfohlen im Geräte-Manager unter Systemgeräte nach TDSSserve.sys zu suchen und die Datei zu deaktivieren. TDSSserve.sys sehe ich aber nirgends. Es scheint sich also um eine andere Variante zu handeln. Wie beim üblichen Redirect Virus, schaltet sich aber auch dieser scheinbar vollkommen willkürlich während des surfens zu. Ich klicke auf irgendeinen Link, egal ob durch eine Google Suche oder ein Unterlink einer Seite, und auf einmal erscheint ein weißer Bildschirm mit der Nachricht: the document has moved. redirecting... (neue Seite erscheint) your request is loading... if you are not redirected in two seconds click here Und dann kommt eine Zufallsseite. Hier ein paar Beispiele: hxxp://earlybirdpictures.com/ hxxp://byronholidays.com/ hxxp://openwowiki.org/ etc. Das ist aber nicht alles. Manchmal werde ich auch auf Seiten gelinkt die vollkommen legitim zu sein scheinen, wie diese hier: hxxp://de.clickcompare.info/search/tv/ Oder noch besser: hxxp://www.groupon.de/?CID=DE_AFF_40_14_1_1&214632-5286-groupon&utm_source=aff_40&utm_medium=aff_14&utm_campaign=aff_1&utm_content=aff_1&nlp Ich habe soeben mein System gescannt. Hier die Logfile von Hijackthis: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:26:49, on 16.04.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINXP\Explorer.EXE C:\WINXP\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe C:\WINXP\system32\svchost.exe C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe C:\Programme\uTorrent\uTorrent.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O1 - Hosts: 74.208.10.249 gs.apple.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: GhosteryStats - {C331A7D9-4187-464C-BE66-FDBC56C07678} - C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStats.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINXP\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM') O4 - .DEFAULT Startup: OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user') O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: GhosteryStats Updater (GhosteryStatsUpdater) - Unknown owner - C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe -- End of file - 7299 bytes ---------------- Ich hoffe ihr könnt mir helfen. Im voraus vielen Dank! |
|
16.04.2012, 18:55
| #2 |
| /// Malware-holic   | Ich habe mir einen Redirect Virus eingefangen Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ |
|
16.04.2012, 21:48
| #3 |
| | Ich habe mir einen Redirect Virus eingefangen OTL Extras:OTL Logfile:
__________________Code:
ATTFilter OTL Extras logfile created on: 16.04.2012 21:52:00 - Run 1
OTL by OldTimer - Version 3.2.39.2 Folder = C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\ANTIVIRUS
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023,23 Mb Total Physical Memory | 457,93 Mb Available Physical Memory | 44,75% Memory free
2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,46% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 45,94 Gb Free Space | 30,82% Space Free | Partition Type: NTFS
Drive E: | 1,52 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive G: | 1863,01 Gb Total Space | 1153,43 Gb Free Space | 61,91% Space Free | Partition Type: NTFS
Drive H: | 1863,01 Gb Total Space | 996,55 Gb Free Space | 53,49% Space Free | Partition Type: NTFS
Computer Name: XP-450F2221FBF4 | User Name: Danny | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\Opera.exe" "%1"
https [open] -- "C:\Programme\Opera\Opera.exe" "%1"
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Photo Manager 12.Manage] -- "C:\Programme\ACD Systems\ACDSee\12.0\ACDSeeQV12.exe" "%1" (ACD Systems International Inc.)
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Bridge] -- C:\Programme\Adobe\Adobe Bridge CS5.1\Bridge.exe "%L" (Adobe Systems, Inc.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\ALLNET\ALLNET Smart Utility\ALLNET Smart Utility.exe" = C:\Programme\ALLNET\ALLNET Smart Utility\ALLNET Smart Utility.exe:*:Enabled:ALLNET Smart Utility -- ()
"C:\WINXP\system32\dpvsetup.exe" = C:\WINXP\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{03F1CC67-5BD8-4C36-8394-76311B2AE69A}" = ArcSoft PhotoStudio 5
"{086a7d8c-0a38-4c7f-819a-620275550d5c}" = Nero BurningROM
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP2600_series" = Canon iP2600 series
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2348b586-c9ae-46ce-936c-a68e9426e214}" = Nero StartSmart Help
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 29
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3521BDBD-D453-5D9F-AA55-44B75D214629}" = Adobe Community Help
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{53735ECE-E461-4FD0-B742-23A352436D3A}" = Logitech Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595a3116-40bb-4e0f-a2e8-d7951da56270}" = NeroExpress
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{7032B400-11EC-11E0-A9BF-0013D3D69929}" = MSVCRT Redists
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7cb63e45-942b-4d8c-96ec-842487aa6a86}" = Nero 9
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{83202942-84b3-4c50-8622-b8c0aa2d2885}" = Nero Express
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8B92D97D-DB3D-4926-A8F7-718FE7C5EE18}" = iTunes
"{90280409-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional with FrontPage
"{9158FF30-78D7-40EF-B83E-451AC5334640}" = Adobe Photoshop CS5.1
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{937B232D-9776-471E-92BD-D424E514EF14}" = Logitech QuickCam
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5CBD7C5-CF16-443F-A4F2-3503C9DE311B}" = ACDSee Photo Manager 12
"{A78FE97A-C0C8-49CE-89D0-EDD524A17392}" = PDF Settings CS5
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{b1adf008-e898-4fe2-8a1f-690d9a06acaf}" = DolbyFiles
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B6D38690-755E-4F40-A35A-23F8BC2B86AC}" = Microsoft_VC90_MFCLOC_x86
"{b78120a0-cf84-4366-a393-4d0a59bc546c}" = Menu Templates - Starter Kit
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1D14C0D-FDAA-4DF2-8441-A902805CCE8C}" = ArcSoft PhotoBase 3
"{C6579A65-9CAE-4B31-8B6B-3306E0630A66}" = Apple Software Update
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{d025a639-b9c9-417d-8531-208859000af8}" = NeroBurningROM
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D24DB8B9-BB6C-4334-9619-BA1C650E13D3}" = Microsoft Primary Interoperability Assemblies 2005
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E088AC54-7379-4C8F-A8B6-D2381E5A1172}" = Manual CanoScan 3000,3000F
"{e498385e-1c51-459a-b45f-1721e37aa1a0}" = Movie Templates - Starter Kit
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{EB879750-CCBD-4013-BFD5-0294D4DA5BD0}" = Apple Application Support
"{EFC04D3F-A152-47E7-8517-EE0F6201AFEF}" = Apple Mobile Device Support
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{f4041dce-3fe1-4e18-8a9e-9de65231ee36}" = Nero ControlCenter
"abgx360" = abgx360 v1.0.5
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Audiograbber" = Audiograbber 1.83 SE
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"Google Chrome" = Google Chrome
"GridinSoft Trojan Killer" = Trojan Killer
"ImgBurn" = ImgBurn
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 7.2.0
"lvdrivers_11.90" = Logitech QuickCam-Treiberpaket
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 11.0 (x86 en-US)" = Mozilla Firefox 11.0 (x86 en-US)
"Nero - Burning Rom!UninstallKey" = Ahead Nero Burning ROM
"UndeletePlus_is1" = Undelete Plus 2.98
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.10
"Winamp" = Winamp
"WinRAR archiver" = WinRAR archiver
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 10.12.2011 13:01:58 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 208: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 12.12.2011 20:26:33 | Computer Name = XP-450F2221FBF4 | Source = ESENT | ID = 490
Description = svchost (1136) Versuch, Datei "C:\WINXP\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 13.12.2011 19:06:36 | Computer Name = XP-450F2221FBF4 | Source = MsiInstaller | ID = 11706
Description = Product: Microsoft Office XP Professional with FrontPage -- Error
1706. Setup cannot find the required files. Check your connection to the network,
or CD-ROM drive. For other potential solutions to this problem, see C:\Programme\Microsoft
Office\Office10\1033\SETUP.HLP.
Error - 20.12.2011 13:51:36 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 228: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 20.12.2011 13:51:36 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 208: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 20.12.2011 13:51:36 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 220: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 20.12.2011 13:51:36 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 400: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 20.12.2011 13:51:36 | Computer Name = XP-450F2221FBF4 | Source = Bonjour Service | ID = 100
Description = 416: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 27.12.2011 14:36:39 | Computer Name = XP-450F2221FBF4 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acdseeqv12.exe, Version 12.0.277.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x0001b1fa.
Error - 03.01.2012 17:05:35 | Computer Name = XP-450F2221FBF4 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrord32.exe, Version 10.1.1.33, fehlgeschlagenes
Modul acrord32.dll, Version 10.1.1.33, Fehleradresse 0x000218f8.
[ System Events ]
Error - 11.04.2012 14:03:25 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 11.04.2012 14:03:55 | Computer Name = XP-450F2221FBF4 | Source = System Error | ID = 1003
Description = Fehlercode 100000d1, 1. Parameter bb0885de, 2. Parameter 00000002,
3. Parameter 00000000, 4. Parameter ee8ac787.
Error - 12.04.2012 11:45:25 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 13.04.2012 13:43:42 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 14.04.2012 11:08:06 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 15.04.2012 05:19:50 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 16.04.2012 11:13:40 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 16.04.2012 11:34:36 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 16.04.2012 11:35:52 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
Error - 16.04.2012 11:35:52 | Computer Name = XP-450F2221FBF4 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
< End of report >
-------------------------------------------------------------------------- OTL Text:OTL Logfile: Code:
ATTFilter OTL logfile created on: 16.04.2012 21:52:00 - Run 1 OTL by OldTimer - Version 3.2.39.2 Folder = C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\ANTIVIRUS Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,23 Mb Total Physical Memory | 457,93 Mb Available Physical Memory | 44,75% Memory free 2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,46% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 45,94 Gb Free Space | 30,82% Space Free | Partition Type: NTFS Drive E: | 1,52 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Drive G: | 1863,01 Gb Total Space | 1153,43 Gb Free Space | 61,91% Space Free | Partition Type: NTFS Drive H: | 1863,01 Gb Total Space | 996,55 Gb Free Space | 53,49% Space Free | Partition Type: NTFS Computer Name: XP-450F2221FBF4 | User Name: Danny | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.04.16 20:52:09 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\ANTIVIRUS\OTL.exe PRC - [2012.02.28 18:35:22 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe PRC - [2012.02.27 01:15:42 | 000,055,144 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2012.01.31 08:56:34 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.01.31 08:56:05 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.01.31 08:55:48 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.01.31 08:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.06.09 14:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2008.12.16 22:59:50 | 000,150,040 | ---- | M] (Logitech Inc.) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe PRC - [2008.09.30 10:18:28 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe ========== Modules (No Company Name) ========== MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU MOD - [2012.02.28 18:35:22 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe MOD - [2012.01.31 08:56:07 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.11.02 00:26:32 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.11.02 00:26:12 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2010.03.15 08:58:22 | 000,141,824 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) SRV - File not found [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.04.13 21:12:09 | 000,253,088 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.02.28 18:35:22 | 000,018,432 | ---- | M] () [Auto | Running] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe -- (GhosteryStatsUpdater) SRV - [2012.02.27 01:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2012.01.31 08:56:05 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.01.31 08:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2010.02.19 13:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard) SRV - [2008.12.16 22:59:50 | 000,150,040 | ---- | M] (Logitech Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv) SRV - [2008.09.30 10:18:28 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.01.31 08:56:33 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.01.31 08:56:33 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.01.04 16:28:36 | 000,016,128 | ---- | M] (Windows (R) Win 7 DDK provider) [File_System | On_Demand | Stopped] -- C:\WINXP\system32\drivers\gtkdrv.sys -- (TrojanKillerDriver) DRV - [2011.09.16 16:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINXP\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.10.08 16:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.12.17 08:02:06 | 000,023,832 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\lvuvcflt.sys -- (FilterService) DRV - [2008.12.17 08:01:42 | 006,364,440 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\lvuvc.sys -- (LVUVC) Logitech QuickCam E3500(UVC) DRV - [2008.12.17 08:01:20 | 000,041,752 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LVUSBSta.sys -- (LVUSBSta) DRV - [2008.12.17 08:00:12 | 000,768,024 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\lvrs.sys -- (LVRS) DRV - [2008.12.16 22:58:54 | 000,025,624 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon) DRV - [2008.04.14 06:21:02 | 000,701,952 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2008.04.13 23:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\gameenum.sys -- (gameenum) DRV - [2006.11.03 03:32:30 | 004,394,496 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.10.17 14:22:26 | 000,009,216 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINXP\system32\drivers\videX32.sys -- (videX32) DRV - [2001.08.17 13:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\msmpu401.sys -- (ms_mpu401) DRV - [2001.08.17 12:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\irsir.sys -- (irsir) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\SearchScopes,DefaultScope = {A8CD2F3A-70BD-4F95-AF6D-23B9D3CE021E} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes\{A8CD2F3A-70BD-4F95-AF6D-23B9D3CE021E}: "URL" = hxxp://findgala.com/?&uid=5641&q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.hiergehtslos.de" FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.7 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.9 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3 FF - prefs.js..extensions.enabledItems: stealthyextension@gmail.com:1.2.1 FF - prefs.js..extensions.enabledItems: info@ghosterystats.com:2.7.192 FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5 FF - prefs.js..extensions.enabledItems: https-everywhere@eff.org:0.9.9.development.3 FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.6.0.8442 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co" FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.06 16:25:00 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.04.10 22:34:36 | 000,000,000 | ---D | M] [2011.06.18 18:05:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Extensions [2012.04.14 17:19:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\extensions [2012.03.30 20:47:55 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2012.01.07 04:06:09 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2012.04.02 00:07:38 | 000,000,000 | ---D | M] (GhosteryStats) -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\extensions\info@ghosterystats.com [2012.03.28 00:40:54 | 000,001,210 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\searchplugins\search.xml [2012.04.06 16:25:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.04.06 02:47:09 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca} [2012.04.06 02:47:09 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\https-everywhere@eff.org () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DDW0BYJ3.DEFAULT\EXTENSIONS\{DC572301-7619-498C-A57D-39143191B318}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DDW0BYJ3.DEFAULT\EXTENSIONS\STEALTHYEXTENSION@GMAIL.COM.XPI [2012.03.13 06:39:39 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.03 06:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.03.13 06:38:32 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.03.13 06:38:32 | 000,002,040 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\twitter.xml ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms} CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\16.0.912.77\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\16.0.912.77\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\16.0.912.77\gcswf32.dll CHR - plugin: Shockwave Flash (Enabled) = C:\WINXP\system32\Macromed\Flash\NPSWF32_11_2_202_228.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: Java Deployment Toolkit 6.0.290.11 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll CHR - plugin: Java(TM) Platform SE 6 U29 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll CHR - plugin: iTunes Application Detector (Enabled) = C:\Programme\iTunes\Mozilla Plugins\npitunes.dll CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - plugin: Default Plug-in (Enabled) = default_plugin CHR - Extension: GhosteryStats = C:\Dokumente und Einstellungen\Danny\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\ehmdnmbaomgmfmjiajhdfopgnbmgkcog\2.7.192_0\ O1 HOSTS File: ([2011.12.10 19:03:37 | 000,000,889 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 74.208.10.249 gs.apple.com O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (GhosteryStats) - {C331A7D9-4187-464C-BE66-FDBC56C07678} - C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStats.dll (David Cancel) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKLM..\Run: [Alcmtr] C:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINXP\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\QuickCam\Quickcam.exe () O4 - HKLM..\Run: [MSPY2002] C:\WINXP\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PHIME2002A] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Danny\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleStartMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoComputersNearMe = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = [binary data] O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ClassicShell = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A7113112-F03A-47ED-B081-15009DF4E3D2}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011.06.18 17:47:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O34 - HKLM BootExecute: (MACHINE BootExecut) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINXP\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINXP\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINXP\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINXP\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: wuauserv - C:\WINDOWS\system32\wuauserv.dll File not found CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.04.15 16:32:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Eigene Dateien\self inspiring self [2012.04.10 22:33:39 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2012.04.06 02:46:56 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Danny\Recent [2012.04.03 22:13:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Avira [2012.04.03 22:07:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2012.04.03 22:07:22 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys [2012.04.03 22:07:20 | 000,137,416 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys [2012.04.03 22:07:20 | 000,074,640 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys [2012.04.03 22:07:20 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avkmgr.sys [2012.04.03 22:07:15 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.04.03 22:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2012.04.02 00:25:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Startmenü\Programme\HiJackThis [2012.04.02 00:24:59 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2012.04.02 00:07:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats [2012.04.02 00:07:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Startmenü\Programme\CCleaner [2012.04.02 00:07:33 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2012.04.01 11:13:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Malwarebytes [2012.04.01 11:13:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.04.01 11:13:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.04.01 11:13:42 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [2012.04.01 11:13:41 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.03.28 01:55:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GridinSoft Trojan Killer [2012.03.28 01:55:20 | 000,000,000 | ---D | C] -- C:\Programme\GridinSoft Trojan Killer [3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.04.16 21:47:55 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job [2012.04.16 21:47:55 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job [2012.04.16 21:45:27 | 000,000,000 | ---- | M] () -- C:\WINXP\System32\drivers\lvuvc.hs [2012.04.16 21:45:25 | 000,000,000 | ---- | M] () -- C:\WINXP\System32\drivers\logiflt.iad [2012.04.16 21:12:01 | 000,000,880 | ---- | M] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job [2012.04.16 17:33:27 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2012.04.16 17:33:23 | 1073,008,640 | -HS- | M] () -- C:\hiberfil.sys [2012.04.16 17:13:11 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2012.04.11 02:00:03 | 000,000,346 | ---- | M] () -- C:\WINXP\tasks\AdobeAAMUpdater-1.0-XP-450F2221FBF4-Danny.job [2012.04.10 20:36:07 | 000,000,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\DOWNLOADS - G.lnk [2012.04.10 20:36:07 | 000,000,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\MUSIC (ARCHIVED).lnk [2012.04.10 20:36:07 | 000,000,462 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\SERIEN.lnk [2012.04.10 20:36:07 | 000,000,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\GAMES.lnk [2012.04.10 20:36:07 | 000,000,386 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\SCHWARZE FESTPLATTE.lnk [2012.04.10 20:36:07 | 000,000,380 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\SILBER FESTPLATTE.lnk [2012.04.10 20:36:07 | 000,000,348 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\STANDUP.lnk [2012.04.10 20:36:06 | 000,000,498 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\!! MUSIC (UNARCHIVED).lnk [2012.04.10 20:36:06 | 000,000,453 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\ANIMANGA.lnk [2012.04.10 20:05:39 | 000,000,405 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\BLOG.lnk [2012.04.10 19:56:57 | 000,000,350 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\MIRROR.lnk [2012.04.10 18:02:03 | 000,000,451 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\Desktop\MOVIES.lnk [2012.04.02 00:37:40 | 000,002,223 | ---- | M] () -- C:\WINXP\System32\12520434.cpx [2012.03.25 10:53:27 | 000,432,492 | ---- | M] () -- C:\WINXP\System32\perfh009.dat [2012.03.25 10:53:27 | 000,067,448 | ---- | M] () -- C:\WINXP\System32\perfc009.dat [2012.03.25 10:53:26 | 000,448,726 | ---- | M] () -- C:\WINXP\System32\perfh007.dat [2012.03.25 10:53:26 | 000,080,290 | ---- | M] () -- C:\WINXP\System32\perfc007.dat [2012.03.20 21:32:08 | 000,000,034 | ---- | M] () -- C:\WINXP\cdplayer.ini [3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.04.03 20:53:03 | 000,041,118 | ---- | C] () -- C:\WINXP\System32\dfrg.msc [2012.04.02 00:37:40 | 000,002,223 | ---- | C] () -- C:\WINXP\System32\12520434.cpx [2012.03.31 20:49:57 | 000,000,880 | ---- | C] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job [2012.03.22 20:48:01 | 000,000,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Danny\Desktop\MIRROR.lnk [2011.12.13 21:40:36 | 000,081,110 | ---- | C] () -- C:\WINXP\System32\lvcoinst.ini [2011.11.28 20:30:22 | 000,000,370 | ---- | C] () -- C:\WINXP\ODBC.INI [2011.07.17 10:17:47 | 000,027,644 | -H-- | C] () -- C:\WINXP\System32\mlfcache.dat [2011.07.10 14:30:23 | 000,005,504 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys [2011.07.10 14:10:34 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Danny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.07.09 19:04:09 | 000,000,034 | ---- | C] () -- C:\WINXP\cdplayer.ini [2011.06.27 14:39:25 | 000,245,760 | ---- | C] () -- C:\WINXP\System32\ImxEx.dll [2011.06.25 14:17:29 | 000,007,680 | ---- | C] () -- C:\WINXP\System32\CNMVS64.DLL [2011.06.24 19:06:39 | 000,000,049 | ---- | C] () -- C:\WINXP\NeroDigital.ini [2011.06.24 19:04:29 | 000,175,616 | ---- | C] () -- C:\WINXP\System32\unrar.dll [2011.06.24 19:04:28 | 000,000,038 | ---- | C] () -- C:\WINXP\avisplitter.ini [2011.06.24 19:04:23 | 000,644,608 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll [2011.06.24 19:04:23 | 000,243,200 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll [2011.06.24 19:04:21 | 000,073,216 | ---- | C] () -- C:\WINXP\System32\ff_vfw.dll [2011.06.18 21:04:48 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI [2011.06.18 21:02:20 | 003,481,984 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT [2011.06.18 18:38:55 | 000,049,152 | R--- | C] () -- C:\WINXP\System32\ChCfg.exe [2011.06.18 18:36:39 | 000,004,916 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini [2011.06.18 18:36:38 | 000,010,288 | ---- | C] () -- C:\WINXP\System32\drivers\ASUSHWIO.SYS [2011.06.18 18:05:47 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat [2011.06.18 17:52:27 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat [2011.06.18 17:44:29 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat [2010.12.06 15:58:56 | 002,496,715 | ---- | C] () -- C:\WINXP\System32\abgx360.exe ========== LOP Check ========== [2011.06.26 18:58:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2011.07.10 14:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2011.06.25 14:33:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2011.07.24 20:52:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2012.04.16 21:50:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2012.01.30 00:24:54 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936} [2011.06.19 20:24:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2011.06.19 10:34:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\abgx360 [2011.06.26 19:00:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\ACD Systems [2011.06.27 14:39:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Astro Gemini Software [2011.07.10 14:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Canneverbe Limited [2012.01.14 20:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Canon [2011.07.24 21:17:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\com.adobe.DC3Module.AdobeADC [2012.04.02 00:07:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\GhosteryStats [2011.12.21 10:07:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\ImgBurn [2011.12.13 21:10:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Leadertech [2011.06.25 13:27:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\OpenOffice.org [2011.06.19 10:47:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Opera [2011.07.24 22:55:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\Sony [2012.01.30 00:25:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\TuneUp Software [2012.04.16 21:38:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Danny\Anwendungsdaten\uTorrent ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.07.24 20:58:24 | 000,000,000 | -H-D | M] -- C:\CanoScan [2012.04.16 21:50:55 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2011.12.13 01:04:48 | 000,000,000 | ---D | M] -- C:\desktopclean [2011.12.10 19:19:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2011.07.24 22:43:48 | 000,000,000 | ---D | M] -- C:\My Music [2011.07.24 22:32:45 | 000,000,000 | ---D | M] -- C:\output [2011.06.18 22:01:34 | 000,000,000 | ---D | M] -- C:\Postinstall [2012.04.16 21:50:11 | 000,000,000 | R--D | M] -- C:\Programme [2011.12.13 01:30:04 | 000,000,000 | ---D | M] -- C:\Qoobox [2012.04.06 11:59:20 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.07.23 10:38:18 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.07.24 22:32:20 | 000,000,000 | ---D | M] -- C:\tmp [2012.04.16 21:46:24 | 000,000,000 | ---D | M] -- C:\WINXP < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2008.11.12 16:38:00 | 018,918,492 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2008.11.12 16:38:00 | 018,918,492 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 13:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\drivers\atapi.sys [2008.04.14 13:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0011\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 13:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\dllcache\eventlog.dll [2008.04.14 13:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\eventlog.dll < MD5 for: EXPLORER.EXE > [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\explorer.exe [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\system32\dllcache\explorer.exe < MD5 for: IASTOR.SYS > [2007.02.12 14:37:22 | 000,537,368 | ---- | M] (Intel Corporation) MD5=2EE127D5407DA3957EE54711C9AED6EC -- C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\LAPTOP BACKUP\Program Files\Intel\Intel Matrix Storage Manager\Driver64\IaStor.sys [2007.02.12 14:36:54 | 000,277,784 | ---- | M] (Intel Corporation) MD5=FD7F9D74C2B35DBDA400804A3F5ED5D8 -- C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\LAPTOP BACKUP\Program Files\Intel\Intel Matrix Storage Manager\Driver\iaStor.sys < MD5 for: NETLOGON.DLL > [2008.04.14 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\dllcache\netlogon.dll [2008.04.14 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 13:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\dllcache\scecli.dll [2008.04.14 13:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 13:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINXP\system32\dllcache\user32.dll [2008.04.14 13:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINXP\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\dllcache\userinit.exe [2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\dllcache\winlogon.exe [2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2008.04.14 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINXP\system32\dllcache\ws2ifsl.sys [2008.04.14 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINXP\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2011.06.18 22:01:40 | 000,094,208 | ---- | M] () -- C:\WINXP\System32\config\default.sav [2011.06.18 22:01:40 | 001,093,632 | ---- | M] () -- C:\WINXP\System32\config\software.sav [2011.06.18 22:01:40 | 000,483,328 | ---- | M] () -- C:\WINXP\System32\config\system.sav < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ] < %USERPROFILE%\*.* > [2012.04.15 23:26:37 | 010,223,616 | -H-- | M] () -- C:\Dokumente und Einstellungen\Danny\NTUSER.DAT [2012.04.16 21:57:26 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Danny\NTUSER.DAT.LOG [2012.04.15 23:26:31 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Danny\ntuser.ini [2011.12.10 19:03:16 | 000,002,238 | ---- | M] () -- C:\Dokumente und Einstellungen\Danny\umbrella0.log < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < End of report > |
|
17.04.2012, 12:21
| #4 |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangen gibt es einen bestimmten grund, warum apple in deiner hosts datei geblockt wurde?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
17.04.2012, 19:34
| #5 |
| | Ich habe mir einen Redirect Virus eingefangen Öh... also erstmal stört es mich nicht besonders, dass sich itunes sich nicht jedesmal automatisch öffnet wenn ich das Ladekabel anschließe. Aber ich glaube das liegt an dem Programm tune-up utilities. Hatte mir ein Kumpel empfohlen. Ich war mir aber nicht sicher, ob das Teil wirklich was bringt, also hab ich es gestern wieder deinstalliert. Wo ich gerade davon spreche, kennt das jemand, tune-up utilities mein ich? Und wenn ja, taugt das was? Ach ja, und der redirect Virus ist immer noch da. Also an tune-up lag es nicht. Geändert von Paradoxone (17.04.2012 um 19:35 Uhr) Grund: Nachtrag |
|
17.04.2012, 19:35
| #6 |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangen nein, solche programme können dem pc schaden, finger weg dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O1 - Hosts: 74.208.10.249 gs.apple.com
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
__________________ --> Ich habe mir einen Redirect Virus eingefangen |
|
17.04.2012, 21:35
| #7 |
| | Ich habe mir einen Redirect Virus eingefangen All processes killed ========== OTL ========== 74.208.10.249 gs.apple.com removed from HOSTS file successfully ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 56502 bytes User: All Users User: Danny ->Flash cache emptied: 5030 bytes User: Default User ->Flash cache emptied: 56502 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: All Users User: Danny ->Temp folder emptied: 285227 bytes ->Temporary Internet Files folder emptied: 237914 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 540176690 bytes ->Google Chrome cache emptied: 0 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 279610 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 115588 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 518,00 mb OTL by OldTimer - Version 3.2.39.2 log created on 04172012_222951 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
18.04.2012, 11:29
| #8 | |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangenCombofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.04.2012, 20:07
| #9 |
| | Ich habe mir einen Redirect Virus eingefangen Combofix Logfile: Code:
ATTFilter ComboFix 12-04-18.02 - Danny 18.04.2012 20:45:45.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.600 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Danny\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\winxp\TEMP\logishrd\LVPrcInj01.dll
c:\winxp\XSxS
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-18 bis 2012-04-18 ))))))))))))))))))))))))))))))
.
.
2012-04-17 20:24 . 2012-04-17 20:24 -------- d-----w- C:\_OTL
2012-04-06 14:25 . 2012-03-13 04:39 97208 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-04-06 14:25 . 2012-03-13 04:39 834712 ----a-w- c:\programme\Mozilla Firefox\uninstall\helper.exe
2012-04-04 05:53 . 2012-04-04 05:53 182160 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2012-04-04 05:53 . 2012-04-04 05:53 182160 ----a-w- c:\programme\Internet Explorer\Plugins\nppdf32.dll
2012-04-03 20:13 . 2012-04-03 20:13 -------- d-----w- c:\dokumente und einstellungen\Danny\Anwendungsdaten\Avira
2012-04-03 20:07 . 2012-01-31 06:56 74640 ----a-w- c:\winxp\system32\drivers\avgntflt.sys
2012-04-03 20:07 . 2012-01-31 06:56 137416 ----a-w- c:\winxp\system32\drivers\avipbb.sys
2012-04-03 20:07 . 2011-09-16 14:08 36000 ----a-w- c:\winxp\system32\drivers\avkmgr.sys
2012-04-03 20:07 . 2012-04-03 20:07 -------- d-----w- c:\programme\Avira
2012-04-03 20:07 . 2012-04-03 20:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-04-03 18:53 . 2008-04-14 11:00 82944 -c--a-w- c:\winxp\system32\dllcache\dfrgfat.exe
2012-04-03 18:53 . 2008-04-14 11:00 82944 ----a-w- c:\winxp\system32\dfrgfat.exe
2012-04-03 18:53 . 2008-04-14 11:00 54784 -c--a-w- c:\winxp\system32\dllcache\dfrgres.dll
2012-04-03 18:53 . 2008-04-14 11:00 54784 ----a-w- c:\winxp\system32\dfrgres.dll
2012-04-03 18:53 . 2008-04-14 11:00 39424 -c--a-w- c:\winxp\system32\dllcache\dfrgsnap.dll
2012-04-03 18:53 . 2008-04-14 11:00 39424 ----a-w- c:\winxp\system32\dfrgsnap.dll
2012-04-03 18:53 . 2008-04-14 11:00 124416 -c--a-w- c:\winxp\system32\dllcache\dfrgui.dll
2012-04-03 18:53 . 2008-04-14 11:00 124416 ----a-w- c:\winxp\system32\dfrgui.dll
2012-04-03 18:53 . 2008-04-14 11:00 105472 -c--a-w- c:\winxp\system32\dllcache\dfrgntfs.exe
2012-04-01 22:25 . 2012-04-01 22:25 388096 ----a-r- c:\dokumente und einstellungen\Danny\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-04-01 22:24 . 2012-04-01 22:24 -------- d-----w- c:\programme\Trend Micro
2012-04-01 22:07 . 2012-04-01 22:07 -------- d-----w- c:\dokumente und einstellungen\Danny\Anwendungsdaten\GhosteryStats
2012-04-01 22:07 . 2012-04-01 22:07 -------- d-----w- c:\programme\CCleaner
2012-04-01 09:13 . 2012-04-01 09:13 -------- d-----w- c:\dokumente und einstellungen\Danny\Anwendungsdaten\Malwarebytes
2012-04-01 09:13 . 2012-04-01 09:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-01 09:13 . 2011-12-10 13:24 20464 ----a-w- c:\winxp\system32\drivers\mbam.sys
2012-04-01 09:13 . 2012-04-01 09:13 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-03-31 18:49 . 2012-04-13 19:12 418464 ----a-w- c:\winxp\system32\FlashPlayerApp.exe
2012-03-27 23:55 . 2012-04-06 11:05 -------- d-----w- c:\programme\GridinSoft Trojan Killer
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-13 19:12 . 2011-06-18 16:26 70304 ----a-w- c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-02-15 10:01 . 2011-06-19 18:21 4547944 ----a-w- c:\winxp\system32\usbaaplrc.dll
2012-02-15 10:01 . 2011-06-19 18:21 43520 ----a-w- c:\winxp\system32\drivers\usbaapl.sys
2012-03-13 04:39 . 2012-04-06 14:25 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C331A7D9-4187-464C-BE66-FDBC56C07678}]
2012-02-28 16:35 269824 ----a-w- c:\dokumente und einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStats.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"NeroCheck"="c:\winxp\system32\NeroCheck.exe" [2001-07-09 155648]
"IMJPMIG8.1"="c:\winxp\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\winxp\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\winxp\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\winxp\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"SwitchBoard"="c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
c:\dokumente und einstellungen\Danny\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\Danny\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\Danny\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2011-7-24 113664]
.
c:\dokumente und einstellungen\Danny\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\ALLNET\\ALLNET Smart Utility\\ALLNET Smart Utility.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [03.04.2012 22:07 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.04.2012 22:07 86224]
R2 GhosteryStatsUpdater;GhosteryStats Updater;c:\dokumente und einstellungen\Danny\Anwendungsdaten\GhosteryStats\IE\GhosteryStatsUpdater.exe [28.02.2012 18:35 18432]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.11.2011 00:57 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [31.03.2012 20:49 253088]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.11.2011 00:57 136176]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TrojanKillerDriver;GridinSoft Trojan Killer Driver;c:\winxp\system32\drivers\gtkdrv.sys [04.01.2012 16:28 16128]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-18 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 19:12]
.
2012-04-18 c:\winxp\Tasks\AdobeAAMUpdater-1.0-XP-450F2221FBF4-Danny.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-07-24 15:42]
.
2012-04-18 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-11-05 22:57]
.
2012-04-18 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-11-05 22:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Danny\Anwendungsdaten\Mozilla\Firefox\Profiles\ddw0byj3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hiergehtslos.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-18 20:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(6796)
c:\winxp\TEMP\logishrd\LVPrcInj01.dll
c:\winxp\system32\msi.dll
c:\winxp\system32\msls31.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\winxp\RTHDCPL.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-18 21:00:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-18 19:00
.
Vor Suchlauf: 10 Verzeichnis(se), 47.703.900.160 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 47.661.805.568 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 33FBA139D86763497EB1F499D8394021
|
|
18.04.2012, 20:10
| #10 |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangen öffne malwarebytes, logdateien, poste alle berichte.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.04.2012, 20:46
| #11 |
| | Ich habe mir einen Redirect Virus eingefangen Was meinst du mit alle Logdateien? Also ich hab jetzt mal mit Malware Bytes gescannt (quickscan) und hier ist die Log Datei: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.04.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 18.04.2012 21:20:14 mbam-log-2012-04-18 (21-20-14).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 197964 Laufzeit: 17 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) --------- Soll ich noch einen Komplettscan machen? Noch was anderes: Nachdem ich Combofix benutzt habe und die Logdatei hier gepostet habe, habe ich auf einmal ganz nervige popups in der rechten Bildschirmecke mit so Nachrichten wie: sponsored ads zieren Deine Wohnung auf Deine Art Beiwanda-Wertgutschein für 14,99€ statt 50€- Exklusive, individuelle Wandtattoos! und sponsored ads Fliegen Sie nach Rom,Paris,London! Hin-und Rückfahrt zu allen Hauptstädten in Europa für nur 29 €. Wählen Sie aus 100 Airlines. Kannst du mir bitte helfen, die wieder loszuwerden? Geändert von Paradoxone (18.04.2012 um 21:12 Uhr) |
|
19.04.2012, 10:46
| #12 |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangen ich möchte alle bisher erstellten Malwarebytes logs sehen. hmm die kommen nicht durch combofix, da währest du der erste bei dem das auftritt.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.04.2012, 18:13
| #13 |
| | Ich habe mir einen Redirect Virus eingefangen Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.01.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 01.04.2012 11:14:59 mbam-log-2012-04-01 (11-14-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 196581 Laufzeit: 9 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge (Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 4 C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A} (PUP.Zwangi) -> Löschen bei Neustart. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\chrome (PUP.Zwangi) -> Löschen bei Neustart. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\defaults (PUP.Zwangi) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\defaults\preferences (PUP.Zwangi) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 4 C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\chrome.manifest (PUP.Zwangi) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\install.rdf (PUP.Zwangi) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\chrome\resulturl.jar (PUP.Zwangi) -> Löschen bei Neustart. C:\Programme\Mozilla Firefox\extensions\{C8431CD2-C25A-45F3-BEA9-A9103C31409A}\defaults\preferences\prefs.js (PUP.Zwangi) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) -------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.01.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 03.04.2012 21:04:47 mbam-log-2012-04-03 (21-04-47).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 196755 Laufzeit: 4 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) -------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.01.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 06.04.2012 12:13:01 mbam-log-2012-04-06 (12-13-01).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 53620 Laufzeit: 27 Minute(n), 59 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) -------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.01.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 06.04.2012 12:41:09 mbam-log-2012-04-06 (12-41-09).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 196757 Laufzeit: 8 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) -------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.04.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 18.04.2012 21:20:14 mbam-log-2012-04-18 (21-20-14).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 197964 Laufzeit: 17 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) -------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.18.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Danny :: XP-450F2221FBF4 [Administrator] 18.04.2012 22:36:44 mbam-log-2012-04-18 (22-36-44).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 332158 Laufzeit: 4 Stunde(n), 57 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 5 C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\M4VPlayerSetup.exe (PUP.Adware.RKN) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\Camtasia Studio 7.0.0 + Serials & Keygen - DivXNL-team\Keygen - Camtasia 7.0.0.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\MEDIA CONVERTER\SoftonicDownloader_fuer_freez-flv-to-avi-mpeg-wmv-converter.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\Sony.Vegas.Pro.10.x86-x64.Cracked-Torrentleech\SonyVegasProCRACK.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\Sony.Vegas.Pro.10.x86-x64.Cracked-Torrentleech\Keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) --------------- Der letzte Eintrag ist der vollständige Scan den ich gestern ausgeführt habe. Die anderen sind glaub ich alles Quick-Scans gewesen. Wegen den popups; das ist wahrscheinlich passiert als ich Antivir deaktivieren musste für combofix... Ich glaube die bin ich aber nach dem vollständigen Scan mit Malware Bytes wieder losgeworden. |
|
20.04.2012, 10:26
| #14 |
| /// Malware-holic | Ich habe mir einen Redirect Virus eingefangen C:\Dokumente und Einstellungen\Danny\Eigene Dateien\Downloads\noch nicht installierte programme\Camtasia Studio 7.0.0 + Serials & Keygen - DivXNL-team\Keygen da die verwendung von keygens illegal ist, können wir hier nur beim formatieren, neu aufsetzen und pc absichern helfen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.04.2012, 17:49
| #15 |
| | Ich habe mir einen Redirect Virus eingefangen Ja äh, das hab ich von einem Kumpel bekommen, zusammen mit anderen nützlichen Freeware tools die keinen keygen hatten. Das besagte Programm befindet sich daher auch in meinem noch-nicht-installierte-programme Ordner, weil ich nicht vorhabe es zu nutzen, aber damit ich halt weiß, was es so für Programme gibt zur Video/Audiobearbeitung. Interessant, dass Malwarebyte solche keygens löscht, noch bevor überhaupt irgendein Setup angeklickt wurde. Auf jeden Fall danke für den Hinweis. Die Popups sind zum Glück wieder weg. Und jetzt, nachdem ich eine Zeit lang gesurft bin, wage ich auch zu hoffen, dass auch der Redirect Virus in den ewigen Jagdgründen der Suchmaschinenhölle verschwunden ist. Zumindest bin ich seit einer halben Stunde nicht mehr umgeleitet worden. Vielen Dank für deine Hilfe, lieber Markus! Und da bin ich wieder. Habe mich wohl doch zu früh gefreut. Als ich jetzt etwas über google suchen wollte, waren die Suchfunktionen, also Bilder/Videos/Maps/Gmail/Mehr usw. alles auf polnisch (glaub ich). Ich hab die Seite geschlossen und die Suche wiederholt. Da war wieder alles normal. Bis ich auf einen Link geklickt habe, da wurde ich wieder redirected... Redirect Virus ist sogar das genaue Gegenteil von weg, wenn überhaupt, dann ist er schlimmer geworden. Jetzt stürzt nämlich noch dazu mein PC regelmäßig ab... Du meine Güte... Was soll ich bloß machen?! Und da bin ich wieder. Habe mich wohl doch zu früh gefreut. Als ich jetzt etwas über google suchen wollte, waren die Suchfunktionen, also Bilder/Videos/Maps/Gmail/Mehr usw. alles auf polnisch (glaub ich). Ich hab die Seite geschlossen und die Suche wiederholt. Da war wieder alles normal. Bis ich auf einen Link geklickt habe, da wurde ich wieder redirected... Redirect Virus ist sogar das genaue Gegenteil von weg, wenn überhaupt, dann ist er schlimmer geworden. Jetzt stürzt nämlich noch dazu mein PC regelmäßig ab... Du meine Güte... Was soll ich bloß machen?! (sorry für Doppelpost, Ich hatte aus Versehen auf "direkt antworten" geklickt.) |
|
| Themen zu Ich habe mir einen Redirect Virus eingefangen |
| adobe, antivir, avg, avira, bho, bildschirm, cid, desktop, document, einstellungen, explorer, firefox, flash player, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, neue seite, plug-in, seiten, software, virus, windows, windows xp |
Linear-Darstellung
