| |
| |||||||
Log-Analyse und Auswertung: Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.05.2012, 09:51
| #1 |
| |  Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallo liebe Helfer! Schon mal im voraus einen riesigen Dank an euch. Ich finde es klasse, was ihr hier macht und bewundere euch für die Mühe und Geduld, die ihr hier rein steckt. Zu meinem Fall: Mein Antivir hat vor zwei Tagen Alarm geschlagen und die Trojaner TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 angezeigt. Ich hatte dann die entsprechenden Dateien gelöscht, aber dann u.a. hier erfahren, dass es damit nicht getan ist. Gestern hat mir ein Freund (kennt sich bissl aus, aber kein Trojaner-Profi) dabei versucht zu helfen, die Dinger von meinem Rechner zu holen. Wir haben zunächst durchgeführt: den Malwarebytes Quickscan (ohne Ergebnis), Hijack This (unverdächtig) und Spybot (ohne Ergebnisse, nur Cookies gemeldet). Zuletzt haben wir den Rechner von der Antivir Rescue CD aus gebootet und einen Check gemacht, bei dem er ganze 4 Trojaner gefunden und gelöscht hat. Frage: Hat es sich damit erledigt??? Bin ich die Viecher los? Über eure Einschätzung würde ich mich sehr freuen! |
|
28.05.2012, 12:25
| #2 |
| /// Malwareteam    | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1: defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung. Schritt 2: OTL (custom) Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
__________________ |
|
28.05.2012, 14:02
| #3 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallo Marius!
__________________Vielen Dank, dass du dich meiner annimmst  Hier die Ergebnisse von OTL: OTL.Txt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 28.05.2012 14:44:01 - Run 1 OTL by OldTimer - Version 3.2.43.2 Folder = C:\Dokumente und Einstellungen\Saskia\Desktop Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,16 Gb Available Physical Memory | 58,14% Memory free 5,84 Gb Paging File | 5,08 Gb Available in Paging File | 87,09% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,98 Gb Total Space | 14,65 Gb Free Space | 36,64% Space Free | Partition Type: NTFS Drive E: | 97,65 Gb Total Space | 14,08 Gb Free Space | 14,42% Space Free | Partition Type: NTFS Drive F: | 160,45 Gb Total Space | 101,69 Gb Free Space | 63,38% Space Free | Partition Type: NTFS Computer Name: SAFRAN | User Name: Saskia | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.05.28 14:41:23 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.02 00:31:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.02.15 01:03:14 | 024,246,216 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe PRC - [2010.05.14 12:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.07.28 16:07:42 | 000,073,528 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE PRC - [2009.07.25 23:37:54 | 000,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe PRC - [2009.07.20 11:01:00 | 000,760,120 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe PRC - [2009.07.09 12:22:18 | 000,144,712 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe PRC - [2009.04.09 12:45:26 | 001,061,688 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\FwebProt.exe PRC - [2008.07.31 02:31:44 | 000,795,936 | ---- | M] (Nuance Communications, Inc.) -- C:\Programme\PDF Pro\PdfPro5Hook.exe PRC - [2008.07.31 02:31:36 | 000,144,672 | ---- | M] (Nuance Communications, Inc.) -- C:\Programme\PDF Pro\PDFProFiltSrv.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.04.14 07:52:40 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe PRC - [2007.10.15 09:15:08 | 001,410,344 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe PRC - [2007.10.15 09:15:08 | 000,382,248 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe PRC - [2007.10.15 09:14:48 | 000,202,024 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe PRC - [2006.10.23 01:48:38 | 000,345,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Reader\Reader\AcroRd32.exe PRC - [2005.09.01 19:24:08 | 000,684,032 | ---- | M] () -- C:\Programme\Dell\QuickSet\quickset.exe PRC - [2005.02.16 16:15:20 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe ========== Modules (No Company Name) ========== MOD - [2012.04.16 23:11:02 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2009.04.27 23:49:26 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll MOD - [2008.04.14 07:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2006.10.23 01:50:44 | 002,924,544 | ---- | M] () -- c:\Programme\Adobe\Reader\Reader\RdLang32.DEU MOD - [2006.10.23 01:35:06 | 000,053,248 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Weblink.DEU MOD - [2006.10.23 01:34:44 | 000,005,120 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\updater.DEU MOD - [2006.10.23 01:34:26 | 000,036,864 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Spelling.DEU MOD - [2006.10.23 01:33:42 | 000,026,112 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\SendMail.deu MOD - [2006.10.23 01:33:38 | 000,970,752 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\PPKLITE.DEU MOD - [2006.10.23 01:33:38 | 000,012,288 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Search5.DEU MOD - [2006.10.23 01:33:28 | 000,053,248 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Search.DEU MOD - [2006.10.23 01:33:12 | 000,028,672 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\SaveAsRTF.DEU MOD - [2006.10.23 01:33:02 | 000,008,192 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\reflow.DEU MOD - [2006.10.23 01:32:54 | 000,013,312 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\ReadOutLoud.DEU MOD - [2006.10.23 01:32:30 | 000,011,264 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\pddom.DEU MOD - [2006.10.23 01:32:26 | 000,159,744 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Multimedia.DEU MOD - [2006.10.23 01:32:16 | 001,224,704 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Annots.DEU MOD - [2006.10.23 01:32:02 | 000,086,016 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\makeaccessible.DEU MOD - [2006.10.23 01:31:30 | 000,013,312 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Hls.deu MOD - [2006.10.23 01:31:10 | 000,006,656 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\EWH32.DEU MOD - [2006.10.23 01:31:00 | 000,098,304 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Escript.deu MOD - [2006.10.23 01:30:42 | 000,225,280 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\DigSig.DEU MOD - [2006.10.23 01:30:32 | 000,028,672 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\eBook.DEU MOD - [2006.10.23 01:29:58 | 000,798,720 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Acroform.DEU MOD - [2006.10.23 01:29:56 | 000,192,512 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\Checkers.DEU MOD - [2006.10.23 01:29:24 | 000,077,824 | ---- | M] () -- C:\Programme\Adobe\Reader\Reader\plug_ins\accessibility.DEU MOD - [2005.09.01 19:24:08 | 000,684,032 | ---- | M] () -- C:\Programme\Dell\QuickSet\quickset.exe MOD - [2005.07.26 20:46:42 | 000,069,632 | ---- | M] () -- C:\Programme\Dell\QuickSet\dadkeyb.dll MOD - [2005.06.29 14:44:42 | 000,090,223 | ---- | M] () -- C:\Programme\Dell\QuickSet\preflibcl.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2009.07.28 16:07:42 | 000,073,528 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL) SRV - [2009.07.25 13:39:46 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service) SRV - [2009.07.09 12:22:18 | 000,144,712 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2008.07.31 02:31:36 | 000,144,672 | ---- | M] (Nuance Communications, Inc.) [Auto | Running] -- C:\Programme\PDF Pro\PDFProFiltSrv.exe -- (PDFProFiltSrv) SRV - [2007.10.15 09:15:08 | 000,382,248 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | Boot | Stopped] -- -- (cercsr6) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2007.02.09 15:25:16 | 000,132,736 | ---- | M] (Paragon) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Uim_IM.sys -- (Uim_IM) DRV - [2007.02.09 15:24:46 | 000,033,632 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\UimBus.sys -- (UimBus) DRV - [2007.02.09 15:24:42 | 000,037,864 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3) DRV - [2005.03.11 00:56:06 | 000,273,168 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\STAC97.sys -- (STAC97) DRV - [2004.10.21 22:56:04 | 003,210,496 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2004.06.17 22:57:02 | 000,200,064 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH) DRV - [2004.06.17 22:55:38 | 000,685,056 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2004.06.17 22:55:04 | 001,041,536 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP) DRV - [2004.05.26 22:18:18 | 000,044,928 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\SearchScopes,DefaultScope = {C04C4342-C830-49DD-B90F-F4F5BDE81BB5} IE - HKCU\..\SearchScopes\{C04C4342-C830-49DD-B90F-F4F5BDE81BB5}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.9 FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.99 FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.7 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: lazarus@interclue.com:2.2 FF - prefs.js..network.proxy.backup.ftp: "172.17.1.5" FF - prefs.js..network.proxy.backup.ftp_port: 3128 FF - prefs.js..network.proxy.backup.socks: "172.17.1.5" FF - prefs.js..network.proxy.backup.socks_port: 3128 FF - prefs.js..network.proxy.backup.ssl: "172.17.1.5" FF - prefs.js..network.proxy.backup.ssl_port: 3128 FF - prefs.js..network.proxy.ftp: "172.17.1.5" FF - prefs.js..network.proxy.ftp_port: 3128 FF - prefs.js..network.proxy.http: "172.17.1.5" FF - prefs.js..network.proxy.http_port: 3128 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "172.17.1.5" FF - prefs.js..network.proxy.socks_port: 3128 FF - prefs.js..network.proxy.ssl: "172.17.1.5" FF - prefs.js..network.proxy.ssl_port: 3128 FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.69: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.28 10:36:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Sunbird 0.8\extensions\\Components: C:\Programme\Mozilla Sunbird\components [2009.07.27 14:32:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Sunbird 0.8\extensions\\Plugins: C:\Programme\Mozilla Sunbird\plugins [2009.07.25 11:36:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Extensions [2012.05.20 18:28:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Firefox\Profiles\k23qvck7.default\extensions [2010.05.02 14:42:20 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Firefox\Profiles\k23qvck7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.03.23 12:45:22 | 000,000,000 | ---D | M] (FoxyTunes) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Firefox\Profiles\k23qvck7.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374} [2012.04.20 10:12:04 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Firefox\Profiles\k23qvck7.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} [2009.07.25 16:57:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Sunbird\Profiles\2k932shy.default\extensions [2008.09.25 23:22:38 | 000,001,106 | ---- | M] () -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla\Firefox\Profiles\k23qvck7.default\searchplugins\ponslineEnglisch.xml [2012.05.28 10:36:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.05.20 18:28:27 | 000,524,264 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K23QVCK7.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI [2012.01.18 03:10:08 | 000,634,964 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K23QVCK7.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2012.02.12 04:32:48 | 000,709,293 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K23QVCK7.DEFAULT\EXTENSIONS\{DDC359D1-844A-42A7-9AA1-88A850A938A8}.XPI [2011.11.16 02:23:27 | 000,246,802 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K23QVCK7.DEFAULT\EXTENSIONS\LAZARUS@INTERCLUE.COM.XPI [2012.04.21 03:18:00 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.21 03:54:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.21 03:54:08 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.04.21 03:54:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.04.21 03:54:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.21 03:54:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.21 03:54:08 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.10 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - Reg Error: Value error. File not found O2 - BHO: (ZeonIEEventHelper Class) - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O3 - HKLM\..\Toolbar: (Nuance PDF) - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe () O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [Nuance PDF Professional 5-reminder] C:\Programme\PDF Pro\Ereg\Ereg.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [PDF5 Registry Controller] C:\Programme\PDF Pro\RegistryController.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [PDFHook] C:\Programme\PDF Pro\PdfPro5Hook.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [3cel21f1px] C:\Dokumente und Einstellungen\Saskia\3cel21f1px.exe File not found O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKCU..\Run: [TrayBackup] C:\Programme\TrayBackup\traybackup.exe ((C) Michael Schiel) O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader\Reader\AdobeCollabSync.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\WINDOWS\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe () O4 - Startup: C:\Dokumente und Einstellungen\Saskia\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Saskia\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\control panel present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: An vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Linkinhalt an vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Mit Nuance PDF Converter 5.11 öffnen - C:\Programme\PDF Pro\cnvres_ger.dll (Nuance Communications, Inc.) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 File not found O8 - Extra context menu item: PDF-Datei aus Linkinhalt erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: PDF-Datei erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: PDF-Dateien aus den ausgewählten Links erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O15 - HKCU\..Trusted Domains: facebook.com ([www] https in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: google.de ([picasaweb] https in Vertrauenswürdige Sites) O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} hxxp://picasaweb.google.com/s/v/55.11/uploader2.cab (UploadListView Class) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{75666A37-75DB-477C-95C8-6D116147E1E5}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: UIHost - (logonui.exe) - logonui.exe (Microsoft Corporation) O20 - Winlogon\Notify\crypt32chain: DllName - (crypt32.dll) - crypt32.dll (Microsoft Corporation) O20 - Winlogon\Notify\cryptnet: DllName - (cryptnet.dll) - cryptnet.dll (Microsoft Corporation) O20 - Winlogon\Notify\cscdll: DllName - (cscdll.dll) - cscdll.dll (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - igfxdev.dll (Intel Corporation) O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) - wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\Schedule: DllName - (wlnotify.dll) - wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\sclgntfy: DllName - (sclgntfy.dll) - sclgntfy.dll (Microsoft Corporation) O20 - Winlogon\Notify\SensLogn: DllName - (WlNotify.dll) - WlNotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\wlballoon: DllName - (wlnotify.dll) - wlnotify.dll (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (msapsspc.dll) - msapsspc.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (schannel.dll) - schannel.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (digest.dll) - digest.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (msnsspc.dll) - msnsspc.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.07.25 00:40:00 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22AF845E-99E0-4187-7436-F10F0C841584} - Versions-Update für Internet Explorer ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\system32\Microsoft ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - C:\WINDOWS\system32\Microsoft ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.05.28 14:41:22 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe [2012.05.28 10:32:01 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Saskia\Recent [2012.05.28 10:22:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\CCleaner [2012.05.28 10:21:59 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2012.05.28 10:14:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Avira [2012.05.28 10:12:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Avira [2012.05.28 10:12:08 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2012.05.28 10:12:05 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.05.28 10:12:04 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.05.28 10:12:04 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.05.28 10:11:42 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.05.28 10:11:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira [2012.05.27 22:37:00 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2012.05.27 22:37:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy [2012.05.27 22:30:04 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2012.05.27 22:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.05.27 22:25:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes [2012.05.27 22:25:17 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.05.27 22:25:17 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.05.27 22:25:06 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\malwarebytes_antimalware_1.61.exe [2012.05.20 22:56:39 | 000,000,000 | ---D | C] -- E:\Meine Dokumente\Neuer Ordner [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.05.28 14:41:23 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe [2012.05.28 14:30:02 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.05.28 10:36:51 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Mozilla Firefox.lnk [2012.05.28 10:22:00 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk [2012.05.28 10:12:23 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira Control Center.lnk [2012.05.28 10:10:30 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.05.28 10:10:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.05.27 23:15:30 | 000,000,297 | ---- | M] () -- C:\boot.ini [2012.05.27 22:25:20 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.27 22:23:46 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\malwarebytes_antimalware_1.61.exe [2012.05.27 22:16:00 | 000,002,213 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk [2012.05.27 14:25:03 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Saskia\defogger_reenable [2012.05.27 13:48:37 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012.05.27 09:51:57 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.05.24 18:27:41 | 000,084,250 | ---- | M] () -- C:\Dokumente und Einstellungen\Saskia\Desktop\Kündigung 1&1.pdf [2012.05.24 18:16:16 | 000,051,200 | ---- | M] () -- E:\Meine Dokumente\Sicherungskopie von Kündigung 1&1.wbk [2012.05.20 23:06:05 | 000,091,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.05.20 18:59:02 | 000,033,792 | ---- | M] () -- E:\Meine Dokumente\Sicherungskopie von Textfindung Grußkarte.wbk [2012.05.18 05:14:35 | 000,132,168 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.05.17 23:42:32 | 000,428,712 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.05.17 23:42:32 | 000,415,606 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.05.17 23:42:32 | 000,075,558 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.05.17 23:42:32 | 000,063,754 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.05.28 10:22:00 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk [2012.05.28 10:12:23 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira Control Center.lnk [2012.05.27 22:25:20 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.27 14:25:03 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Saskia\defogger_reenable [2012.05.24 18:27:40 | 000,084,250 | ---- | C] () -- C:\Dokumente und Einstellungen\Saskia\Desktop\Kündigung 1&1.pdf [2012.05.24 18:01:40 | 000,051,200 | ---- | C] () -- E:\Meine Dokumente\Sicherungskopie von Kündigung 1&1.wbk [2012.05.17 22:29:37 | 000,033,792 | ---- | C] () -- E:\Meine Dokumente\Sicherungskopie von Textfindung Grußkarte.wbk [2012.02.14 23:15:20 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.09.25 23:53:26 | 000,013,120 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys [2011.01.28 19:27:42 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat [2010.08.02 19:30:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI ========== LOP Check ========== [2011.10.23 20:59:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BVRP Software [2010.05.02 14:58:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\elsterformular [2009.07.25 14:56:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nuance [2011.07.18 06:25:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft [2009.07.25 17:05:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SITEguard [2009.07.25 17:25:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\STOPzilla! [2009.07.25 14:52:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\zeon [2011.10.24 13:35:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42} [2009.09.04 17:28:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [2009.07.25 22:31:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\3M [2009.12.14 23:14:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Amazon [2012.05.28 10:11:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox [2010.05.02 15:00:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\elsterformular [2012.05.28 10:32:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\FileZilla [2010.09.01 14:58:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\FRITZ! [2009.07.25 23:43:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\GetRightToGo [2009.07.25 22:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\ICAClient [2009.07.25 22:32:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Leadertech [2009.07.25 22:32:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\NetMedia Providers [2009.11.08 13:37:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Opera [2009.07.25 22:32:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Otto [2011.03.18 20:28:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\ParallelGraphics [2009.07.25 22:32:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Publish Providers [2011.09.25 23:12:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\QuickScan [2009.07.25 22:03:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\ScanSoft [2009.07.25 22:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Sony [2009.07.25 22:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Subversion [2009.07.25 15:47:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Zeon ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2009.07.28 11:19:03 | 000,000,000 | RHSD | M] -- C:\cmdcons [2011.11.07 23:43:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2010.08.02 19:30:19 | 000,000,000 | ---D | M] -- C:\PC-BIB [2012.05.28 10:21:59 | 000,000,000 | R--D | M] -- C:\Programme [2011.11.07 23:53:34 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2009.07.25 02:14:11 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.10.11 01:13:32 | 000,000,000 | ---D | M] -- C:\TEMP [2012.05.28 10:32:01 | 000,000,000 | ---D | M] -- C:\WINDOWS [2009.07.25 00:49:12 | 000,000,000 | ---D | M] -- C:\WINNT < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2004.08.10 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [1999.12.10 14:00:00 | 000,239,888 | ---- | M] (Microsoft Corporation) MD5=59B2E4B97C047C7D451005A124EC40F5 -- C:\WINNT\explorer.exe < MD5 for: REGEDIT.EXE > [2004.08.10 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe [1999.12.10 14:00:00 | 000,076,048 | ---- | M] (Microsoft Corporation) MD5=91BA39F0E961F3CBDC2CC9D48DC08597 -- C:\WINNT\regedit.exe [2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [1999.12.10 14:00:00 | 000,017,168 | ---- | M] (Microsoft Corporation) MD5=B2611C1A176C82177DE2DB263F8D13FE -- C:\WINNT\system32\userinit.exe [2004.08.10 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2004.08.10 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe [1999.12.10 14:00:00 | 000,181,008 | ---- | M] (Microsoft Corporation) MD5=FAF8A60465ECD8822833AEFD3C9A96BD -- C:\WINNT\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.04.11 15:51:18 | 001,862,400 | ---- | M] (Microsoft Corporation) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-05-22 15:45:01 < End of report > Und Extras.txt:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 28.05.2012 14:44:01 - Run 1
OTL by OldTimer - Version 3.2.43.2 Folder = C:\Dokumente und Einstellungen\Saskia\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,16 Gb Available Physical Memory | 58,14% Memory free
5,84 Gb Paging File | 5,08 Gb Available in Paging File | 87,09% Paging File free
Paging file location(s): [Binary data over 100 bytes]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,98 Gb Total Space | 14,65 Gb Free Space | 36,64% Space Free | Partition Type: NTFS
Drive E: | 97,65 Gb Total Space | 14,08 Gb Free Space | 14,42% Space Free | Partition Type: NTFS
Drive F: | 160,45 Gb Total Space | 101,69 Gb Free Space | 63,38% Space Free | Partition Type: NTFS
Computer Name: SAFRAN | User Name: Saskia | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
jsfile [edit] -- "C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Disabled:Dropbox -- (Dropbox, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{0134A1A1-C283-4A47-91A1-92F19F960372}" = Adobe Creative Suite 2
"{068724F8-D8BE-4B43-8DDD-B9FE9E49FD76}" = Scansoft PDF Professional
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{12C25800-EF49-4AE3-AF60-8981001A6F3B}" = Nuance PDF Professional 5
"{14291118-0C19-45EA-A4FA-5C1C0F5FDE09}" = Primo
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{236BB7C4-4419-42FD-0407-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 23
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CFA89B7-33A5-4DA9-841D-93A42CF6172B}" = Avanquest PerfectImage 11
"{50BC0FF8-F19C-42C3-AB28-55280DA21031}" = Nero 8 Essentials
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}" = AVM FRITZ!DSL
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{7F4C8163-F259-49A0-A018-2857A90578BC}" = Adobe InDesign CS2
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1031-7B44-A80000000002}" = Adobe Reader 8 - Deutsch
"{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}" = Apple Mobile Device Support
"{C49DAA9C-5BA8-459A-8244-E57B69DF0F04}" = Suite Specific
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DABF43D9-1104-4764-927B-5BED1274A3B0}" = Runtime
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"7-Zip" = 7-Zip 9.20
"AC3Filter" = AC3Filter (remove only)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"CCleaner" = CCleaner
"CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SUBSYS_542214F1" = Conexant D110 MDC V.9x Modem
"Cool Edit Pro 2.0" = Cool Edit Pro 2.0
"CoreVorbis Audio Decoder" = CoreVorbis Audio Decoder (remove only)
"ElsterFormular 11.4.1.4323" = ElsterFormular
"ffdshow" = ffdshow (remove only)
"FileZilla Client" = FileZilla Client 3.2.4.1
"FoxyTunesForFirefox" = FoxyTunes for Firefox
"HTTS 2.10" = HTTS 2.10
"HUFFYUV" = Huffyuv AVI lossless video codec (Remove Only)
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mmswitch" = Morgan Stream Switcher
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Sunbird (0.8)" = Mozilla Sunbird (0.8)
"OggDS" = Direct Show Ogg Vorbis Filter (remove only)
"PC-Bibliothek" = PC-Bibliothek
"RealPlayer 6.0" = RealPlayer
"RealVNC_is1" = VNC Free Edition 4.1.3
"Scribble-It_is1" = Scribble-It 3.1
"VLC media player" = VLC media player 1.1.7
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"XP Codec Pack" = XP Codec Pack
"XviD_is1" = XviD MPEG-4 Video Codec
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.5
"Dropbox" = Dropbox
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 25.05.2012 15:24:24 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 15:40:10 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 16:14:27 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 16:18:27 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 16:50:34 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 17:26:20 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 17:31:30 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 17:37:57 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 27.05.2012 03:56:25 | Computer Name = SAFRAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 10.0.12.31, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 28.05.2012 05:04:10 | Computer Name = SAFRAN | Source = MsiInstaller | ID = 11730
Description = Product: Skype™ 5.5 -- Error 1730. You must be an Administrator to
remove this application. To remove this application, you can log on as an Administrator,
or contact your technical support group for assistance.
[ System Events ]
Error - 25.05.2012 13:14:42 | Computer Name = SAFRAN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 25.05.2012 13:14:42 | Computer Name = SAFRAN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 25.05.2012 13:38:47 | Computer Name = SAFRAN | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 192.168.1.35
mit dem Computer mit der Netzwerkhardwareadresse 3C:D0:F8:1C:93:70 ermittelt. Netzwerkvorgänge
könnten daher auf diesem System unterbrochen werden.
Error - 25.05.2012 13:38:47 | Computer Name = SAFRAN | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 192.168.1.35
mit dem Computer mit der Netzwerkhardwareadresse 3C:D0:F8:1C:93:70 ermittelt. Netzwerkvorgänge
könnten daher auf diesem System unterbrochen werden.
Error - 27.05.2012 13:22:21 | Computer Name = SAFRAN | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
Error - 27.05.2012 16:17:44 | Computer Name = SAFRAN | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.178.39 für die Netzwerkkarte mit der Netzwerkadresse
0013CEF0921E wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 27.05.2012 23:03:48 | Computer Name = SAFRAN | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.108 für die Netzwerkkarte mit der Netzwerkadresse
0013CEF0921E wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
< End of report >
Ich hoffe, ich hab das jetzt richtig gemacht/gepostet. Vielen Dank schon mal für deine Mühe und viele Grüße! |
|
28.05.2012, 14:17
| #4 |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Gmer Bitte
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
28.05.2012, 18:48
| #5 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallo Marius, hier ist das GMER logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-28 19:31:56
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD3200BEVE-00A0HT0 rev.11.01A11
Running: z9o9e57n.exe; Driver: C:\DOKUME~1\Saskia\LOKALE~1\Temp\ugtdypob.sys
---- System - GMER 1.0.15 ----
SSDT BB743ACC ZwClose
SSDT BB743A86 ZwCreateKey
SSDT BB743AD6 ZwCreateSection
SSDT BB743A7C ZwCreateThread
SSDT BB743A8B ZwDeleteKey
SSDT BB743A95 ZwDeleteValueKey
SSDT BB743AC7 ZwDuplicateObject
SSDT BB743A9A ZwLoadKey
SSDT BB743A68 ZwOpenProcess
SSDT BB743A6D ZwOpenThread
SSDT BB743AEF ZwQueryValueKey
SSDT BB743AA4 ZwReplaceKey
SSDT BB743AE0 ZwRequestWaitReplyPort
SSDT BB743A9F ZwRestoreKey
SSDT BB743ADB ZwSetContextThread
SSDT BB743AE5 ZwSetSecurityObject
SSDT BB743A90 ZwSetValueKey
SSDT BB743AEA ZwSystemDebugControl
SSDT BB743A77 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2778 80501F88 4 Bytes [EA, 3A, 74, BB]
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ??0?o???Tcpip??0?q??NDIS????????????????????Base?????D?D?C???????????????????????????? ? ???????p???????????????????????????????????????????? ????????????@???????????????????d5?????????????e?????????????? ????l??ma???????????p??????SE???????????F??t ????Z??????S????hlie??? ???????S??????pp??????????????????????????????????p???File system?????????????????t???????????????Internal????Parport?????Event Log???????????????t???Base????????????????t???Gpc?????????????????????5.????<????????????????e???????? ??????????????? ?????????????<???????????????????.??!?????????e???????????????????????? ????y??em???????????????????????????????x??????10??????????????????Rdbss???RPCSS???St????Z??????d????hSim??????????????????????Network??????????????u??ty??Rdbss?????????????????????????????????????????????????????????V???????????????????????????????????????^???????????h?????????????????t???????????????p????????????D?????????????ssy??{4??????????????????????????????????????????NetworkProvider????????????????????????????g???????
---- EOF - GMER 1.0.15 ----
Viele Grüße und Danke |
|
28.05.2012, 23:32
| #6 |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ --> Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? |
|
29.05.2012, 00:54
| #7 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallo Marius, der ComboFix Scan hat ganz schön für Nervenkitzel gesorgt. Ich ließ das Programm ungestört scannen und als ich das nächste Mal auf den Rechner geschaut habe, war er gerade beim Neustart. Ich habe mich also angemeldet und dann lief das Programm irgendwie Amok: Es öffneten sich hunderte kleine blaue ComboFix Fensterchen, die sich alle sofort wieder schlossen. Der Prozess war überhaupt nicht zu stoppen, weder über den Task-Manager, noch über Neu Hochfahren: Sobald ich mich wieder angemeldet habe, erschienen tausende blaue Fenster. Also hab ich mich noch mal im Admin Konto eingeloggt (den Scan und alles andere hab ich über mein eingeschränktes Benutzerkonto laufen lassen aber mit Admin-Rechten per Machmichadmin). Da erschien wieder das ComboFix Fenster, diesmal aber mit der Nachricht, der Log werde vorbereitet. Das hat dann auch funktioniert und das Programm wieder ausgeschaltet. Den Log poste ich hier gleich mal, das Programm werd aber nach deinem OK wieder rausschmeißen. Vielen Dank und gute Nacht Combofix Logfile: Code:
ATTFilter ComboFix 12-05-28.05 - Saskia 29.05.2012 1:24.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1321 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Saskia\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Saskia\3cel21f1px.exe
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-28 bis 2012-05-28 ))))))))))))))))))))))))))))))
.
.
2012-05-28 14:01 . 2012-05-28 14:01 -------- d-----w- c:\dokumente und einstellungen\Saskia\Anwendungsdaten\Malwarebytes
2012-05-28 08:36 . 2012-04-21 01:18 97208 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-05-28 08:36 . 2012-04-21 01:16 43960 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
2012-05-28 08:36 . 2012-04-21 01:16 157352 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-28 08:36 . 2012-04-21 01:16 129976 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice.exe
2012-05-28 08:36 . 2012-04-21 01:16 588728 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-05-28 08:36 . 2012-04-21 01:15 626688 ----a-w- c:\programme\Mozilla Firefox\msvcr80.dll
2012-05-28 08:36 . 2012-04-21 01:15 548864 ----a-w- c:\programme\Mozilla Firefox\msvcp80.dll
2012-05-28 08:36 . 2012-04-21 01:15 479232 ----a-w- c:\programme\Mozilla Firefox\msvcm80.dll
2012-05-28 08:21 . 2012-05-28 08:22 -------- d-----w- c:\programme\CCleaner
2012-05-28 08:14 . 2012-05-28 08:14 -------- d-----w- c:\dokumente und einstellungen\Saskia\Anwendungsdaten\Avira
2012-05-28 08:12 . 2012-04-16 19:17 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-05-28 08:12 . 2012-04-27 08:20 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-05-28 08:12 . 2012-04-24 22:32 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-05-28 08:11 . 2012-05-28 08:11 -------- d-----w- c:\programme\Avira
2012-05-28 08:11 . 2012-05-28 08:11 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2012-05-27 20:37 . 2012-05-28 08:10 -------- d-----w- c:\programme\Spybot - Search & Destroy
2012-05-27 20:37 . 2012-05-28 08:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2012-05-27 20:30 . 2012-05-27 20:30 388096 ----a-r- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-05-27 20:30 . 2012-05-27 20:30 -------- d-----w- c:\programme\Trend Micro
2012-05-27 20:25 . 2012-05-27 20:25 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2012-05-27 20:25 . 2012-05-27 20:25 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2012-05-27 20:25 . 2012-05-27 20:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-05-27 20:25 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-05-27 20:25 . 2012-05-27 20:23 10063000 ----a-w- C:\malwarebytes_antimalware_1.61.exe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2004-08-04 00:50 2071424 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2009-07-24 22:53 1862400 ----a-w- c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2009-07-24 22:51 2194944 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-01 11:00 . 2009-07-24 22:53 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2009-07-24 22:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2009-07-24 22:51 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2009-07-24 22:53 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2009-07-24 22:51 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2009-07-24 22:50 385024 ----a-w- c:\windows\system32\html.iec
2012-04-21 01:18 . 2012-05-28 08:36 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-10-15 202024]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"PDFHook"="c:\programme\PDF Pro\pdfpro5hook.exe" [2008-07-31 795936]
"PDF5 Registry Controller"="c:\programme\PDF Pro\RegistryController.exe" [2008-07-31 58656]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-26 210472]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"Nuance PDF Professional 5-reminder"="c:\programme\PDF Pro\Ereg\Ereg.exe" [2007-08-31 328992]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-25 198160]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Saskia\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe [N/A]
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2009-4-9 1061688]
.
c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader\Reader\AdobeCollabSync.exe [2006-10-23 734872]
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe [2010-4-18 29184]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Saskia\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\network diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [25.09.2011 23:53 37864]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [28.05.2012 10:12 36000]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.05.2012 22:25 22344]
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-25 14:16]
.
2012-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-25 14:16]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: An vorhandene PDF-Datei anhängen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Linkinhalt an vorhandene PDF-Datei anhängen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Mit Nuance PDF Converter 5.11 öffnen - c:\programme\PDF Pro\cnvres_ger.dll /100
IE: PDF-Datei aus Linkinhalt erstellen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: PDF-Datei erstellen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: PDF-Dateien aus den ausgewählten Links erstellen - c:\programme\PDF Pro\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\eif1gv7y.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
HKCU-Run-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
HKU-Default-Run-FRITZ!protect - FwebProt.exe
AddRemove-HTTS 2.10 - c:\windows\IsUn0407.exe
AddRemove-PC-Bibliothek - c:\windows\unin0407.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\bm_installer.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-29 01:43
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2112)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\sched.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe
c:\programme\PDF Pro\PDFProFiltSrv.exe
c:\windows\system32\locator.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\imapi.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-29 01:47:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-05-28 23:47
.
Vor Suchlauf: 7 Verzeichnis(se), 19.348.492.288 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 25.145.573.376 Bytes frei
.
- - End Of File - - 87BA2E69B98994E58FB258CC39E01A58
Geändert von zazalina (29.05.2012 um 01:00 Uhr) |
|
29.05.2012, 06:48
| #8 |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Das Problem ist, dass combofix aus mehreren tools besteht, die evtl nicht laufen, wenn das Programm utner einer eingeschränkten Benutzerumgebung ausgeführt wird. "Rausschmeißen" nicht, wir brauchen es vielleicht noch! Sieht ganz gut aus - kontrollieren wir alles nochmal! Schritt 1: MBAM vollständig Downloade Dir bitte Malwarebytes
Schritt 2: ESET ESET Online Scanner
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
29.05.2012, 11:04
| #9 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallöchen Marius, anbei die beiden Logfiles. Die scheinen wieder was gefunden zu haben, aber ich versteht ja wie gesagt net viel davon. Malware: Malwarebytes Anti-Malware (Test) 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.05.29.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Saskia :: SAFRAN [Administrator] Schutz: Deaktiviert 29.05.2012 09:23:32 mbam-log-2012-05-29 (09-23-32).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 450588 Laufzeit: 57 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Und ESET, da seh ich grad erst dass das total kurz ist, ist das normal? C:\System Volume Information\_restore{0EA8589E-F091-4FE3-A87E-0D299AC2414E}\RP409\A0064577.exe Win32/RegistryBooster application C:\System Volume Information\_restore{0EA8589E-F091-4FE3-A87E-0D299AC2414E}\RP409\A0064578.exe Win32/RegistryBooster application Danke für deinen unermüdlichen Einsatz! |
|
30.05.2012, 07:19
| #10 |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Schritt 1: Java update Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2: Adobe Reader update Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.
Schritt 3: Adobe Flash Player update Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden. Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 4: VLC-Player update Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:
Schritt 5: Neues OTL-Log Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
30.05.2012, 18:51
| #11 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Hallo Marius! Alles erledigt! Hier sind die beiden Files:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 30.05.2012 19:31:39 - Run 2
OTL by OldTimer - Version 3.2.44.0 Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,32 Gb Available Physical Memory | 66,10% Memory free
5,84 Gb Paging File | 5,23 Gb Available in Paging File | 89,64% Paging File free
Paging file location(s): [Binary data over 100 bytes]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,98 Gb Total Space | 22,68 Gb Free Space | 56,73% Space Free | Partition Type: NTFS
Drive E: | 97,65 Gb Total Space | 21,06 Gb Free Space | 21,56% Space Free | Partition Type: NTFS
Drive F: | 160,45 Gb Total Space | 104,60 Gb Free Space | 65,20% Space Free | Partition Type: NTFS
Computer Name: SAFRAN | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
jsfile [edit] -- "C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Disabled:Dropbox -- (Dropbox, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{0134A1A1-C283-4A47-91A1-92F19F960372}" = Adobe Creative Suite 2
"{068724F8-D8BE-4B43-8DDD-B9FE9E49FD76}" = Scansoft PDF Professional
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{12C25800-EF49-4AE3-AF60-8981001A6F3B}" = Nuance PDF Professional 5
"{14291118-0C19-45EA-A4FA-5C1C0F5FDE09}" = Primo
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{236BB7C4-4419-42FD-0407-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CFA89B7-33A5-4DA9-841D-93A42CF6172B}" = Avanquest PerfectImage 11
"{50BC0FF8-F19C-42C3-AB28-55280DA21031}" = Nero 8 Essentials
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}" = AVM FRITZ!DSL
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{7F4C8163-F259-49A0-A018-2857A90578BC}" = Adobe InDesign CS2
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}" = Apple Mobile Device Support
"{C49DAA9C-5BA8-459A-8244-E57B69DF0F04}" = Suite Specific
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DABF43D9-1104-4764-927B-5BED1274A3B0}" = Runtime
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"7-Zip" = 7-Zip 9.20
"AC3Filter" = AC3Filter (remove only)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"CCleaner" = CCleaner
"CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SUBSYS_542214F1" = Conexant D110 MDC V.9x Modem
"Cool Edit Pro 2.0" = Cool Edit Pro 2.0
"CoreVorbis Audio Decoder" = CoreVorbis Audio Decoder (remove only)
"ElsterFormular 11.4.1.4323" = ElsterFormular
"ESET Online Scanner" = ESET Online Scanner v3
"ffdshow" = ffdshow (remove only)
"FileZilla Client" = FileZilla Client 3.2.4.1
"FoxyTunesForFirefox" = FoxyTunes for Firefox
"HUFFYUV" = Huffyuv AVI lossless video codec (Remove Only)
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mmswitch" = Morgan Stream Switcher
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Sunbird (0.8)" = Mozilla Sunbird (0.8)
"OggDS" = Direct Show Ogg Vorbis Filter (remove only)
"RealPlayer 6.0" = RealPlayer
"RealVNC_is1" = VNC Free Edition 4.1.3
"Scribble-It_is1" = Scribble-It 3.1
"VLC media player" = VLC media player 2.0.1
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"XP Codec Pack" = XP Codec Pack
"XviD_is1" = XviD MPEG-4 Video Codec
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 25.05.2012 17:26:20 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 17:31:30 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 25.05.2012 17:37:57 | Computer Name = SAFRAN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "RegOpenKeyExW(HKLM,SYSTEM\CurrentControlSet\Services\VSS\Providers,0,KEY_ALL_ACCESS,&ptr)".
hr = 0x80070002.
Error - 27.05.2012 03:56:25 | Computer Name = SAFRAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 10.0.12.31, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 28.05.2012 05:04:10 | Computer Name = SAFRAN | Source = MsiInstaller | ID = 11730
Description = Product: Skype™ 5.5 -- Error 1730. You must be an Administrator to
remove this application. To remove this application, you can log on as an Administrator,
or contact your technical support group for assistance.
Error - 28.05.2012 16:39:17 | Computer Name = SAFRAN | Source = MsiInstaller | ID = 11730
Description = Product: Skype™ 5.5 -- Error 1730. You must be an Administrator to
remove this application. To remove this application, you can log on as an Administrator,
or contact your technical support group for assistance.
Error - 28.05.2012 19:42:04 | Computer Name = SAFRAN | Source = EventSystem | ID = 4614
Description = Das COM+-Ereignissystem hat eine Inkonsistenz in seinem internen Status
erkannt. Fehler bei der Assertion "GetLastError() == 122L" in Zeile 162 von d:\comxp_sp3\com\com1x\src\events\shared\sectools.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 29.05.2012 03:08:30 | Computer Name = SAFRAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mbam.exe, Version 1.60.0.80, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 29.05.2012 03:08:48 | Computer Name = SAFRAN | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -1395239316.
Error - 29.05.2012 03:09:15 | Computer Name = SAFRAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mbam.exe, Version 1.60.0.80, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 25.05.2012 13:19:12 | Computer Name = SAFRAN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 25.05.2012 13:38:47 | Computer Name = SAFRAN | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 192.168.1.35
mit dem Computer mit der Netzwerkhardwareadresse 3C:D0:F8:1C:93:70 ermittelt. Netzwerkvorgänge
könnten daher auf diesem System unterbrochen werden.
Error - 25.05.2012 13:38:47 | Computer Name = SAFRAN | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 192.168.1.35
mit dem Computer mit der Netzwerkhardwareadresse 3C:D0:F8:1C:93:70 ermittelt. Netzwerkvorgänge
könnten daher auf diesem System unterbrochen werden.
Error - 27.05.2012 13:22:21 | Computer Name = SAFRAN | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
Error - 27.05.2012 16:17:44 | Computer Name = SAFRAN | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.178.39 für die Netzwerkkarte mit der Netzwerkadresse
0013CEF0921E wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 27.05.2012 23:03:48 | Computer Name = SAFRAN | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.108 für die Netzwerkkarte mit der Netzwerkadresse
0013CEF0921E wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
Error - 28.05.2012 11:19:43 | Computer Name = SAFRAN | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 30.05.2012 12:55:21 | Computer Name = SAFRAN | Source = DCOM | ID = 10010
Description = Der Server "{25E8A7CA-5874-4F85-BC00-35210131C444}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
< End of report >
und OTL.txtOTL Logfile: Code:
ATTFilter OTL logfile created on: 30.05.2012 19:31:39 - Run 2 OTL by OldTimer - Version 3.2.44.0 Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,32 Gb Available Physical Memory | 66,10% Memory free 5,84 Gb Paging File | 5,23 Gb Available in Paging File | 89,64% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,98 Gb Total Space | 22,68 Gb Free Space | 56,73% Space Free | Partition Type: NTFS Drive E: | 97,65 Gb Total Space | 21,06 Gb Free Space | 21,56% Space Free | Partition Type: NTFS Drive F: | 160,45 Gb Total Space | 104,60 Gb Free Space | 65,20% Space Free | Partition Type: NTFS Computer Name: SAFRAN | User Name: Admin | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) PRC - C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\PDF Pro\PdfPro5Hook.exe (Nuance Communications, Inc.) PRC - C:\Programme\PDF Pro\PDFProFiltSrv.exe (Nuance Communications, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG) PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG) PRC - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG) PRC - C:\Programme\Dell\QuickSet\quickset.exe () PRC - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU () MOD - C:\Programme\Dell\QuickSet\quickset.exe () MOD - C:\Programme\Dell\QuickSet\dadkeyb.dll () MOD - C:\Programme\Dell\QuickSet\preflibcl.dll () ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (IGDCTRL) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (PDFProFiltSrv) -- C:\Programme\PDF Pro\PDFProFiltSrv.exe (Nuance Communications, Inc.) SRV - (NetTcpPortSharing) -- C:\WINDOWS\microsoft.net\framework\v3.0\Windows Communication Foundation\SMSvcHost.exe (Microsoft Corporation) SRV - (NetDDEdsdm) -- C:\WINDOWS\system32\netdde.exe (Microsoft Corporation) SRV - (NetDDE) -- C:\WINDOWS\system32\netdde.exe (Microsoft Corporation) SRV - (Messenger) -- C:\WINDOWS\system32\msgsvc.dll (Microsoft Corporation) SRV - (RemoteAccess) -- C:\WINDOWS\system32\mprdim.dll (Microsoft Corporation) SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG) ========== Driver Services (SafeList) ========== DRV - (VMnetAdapter) -- system32\DRIVERS\vmnetadapter.sys File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (cercsr6) -- File not found DRV - (catchme) -- C:\ComboFix\catchme.sys File not found DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH) DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (dmboot) -- C:\WINDOWS\system32\drivers\dmboot.sys (Microsoft Corp., Veritas Software) DRV - (Fastfat) -- C:\WINDOWS\System32\drivers\fastfat.sys (Microsoft Corporation) DRV - (Udfs) -- C:\WINDOWS\System32\drivers\udfs.sys (Microsoft Corporation) DRV - (Uim_IM) -- C:\WINDOWS\system32\drivers\Uim_IM.sys (Paragon) DRV - (UimBus) -- C:\WINDOWS\system32\drivers\UimBus.sys (Windows (R) 2000 DDK provider) DRV - (hotcore3) -- C:\WINDOWS\system32\drivers\hotcore3.sys (Paragon Software Group) DRV - (STAC97) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.) DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) DRV - (cbidf2k) -- C:\WINDOWS\System32\drivers\cbidf2k.sys (Microsoft Corporation) DRV - (ACPIEC) -- C:\WINDOWS\System32\drivers\acpiec.sys (Microsoft Corporation) DRV - (HSFHWICH) -- C:\WINDOWS\system32\drivers\HSFHWICH.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.) DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.69: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.28 10:36:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Sunbird 0.8\extensions\\Components: C:\Programme\Mozilla Sunbird\components [2009.07.27 14:32:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Sunbird 0.8\extensions\\Plugins: C:\Programme\Mozilla Sunbird\plugins [2009.07.27 17:27:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions [2012.05.29 01:52:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\eif1gv7y.default\extensions [2012.05.28 10:36:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.04.21 03:18:00 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.21 03:54:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.21 03:54:08 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.04.21 03:54:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.04.21 03:54:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.21 03:54:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.21 03:54:08 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.05.29 01:31:27 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - Reg Error: Value error. File not found O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (ZeonIEEventHelper Class) - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3 - HKLM\..\Toolbar: (Nuance PDF) - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe () O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [Nuance PDF Professional 5-reminder] C:\Programme\PDF Pro\Ereg\Ereg.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [PDF5 Registry Controller] C:\Programme\PDF Pro\RegistryController.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [PDFHook] C:\Programme\PDF Pro\PdfPro5Hook.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\WINDOWS\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O8 - Extra context menu item: An vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Linkinhalt an vorhandene PDF-Datei anhängen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: Mit Nuance PDF Converter 5.11 öffnen - C:\Programme\PDF Pro\cnvres_ger.dll (Nuance Communications, Inc.) O8 - Extra context menu item: PDF-Datei aus Linkinhalt erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: PDF-Datei erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O8 - Extra context menu item: PDF-Dateien aus den ausgewählten Links erstellen - C:\Programme\PDF Pro\bin\ZeonIEFavClient.dll (Zeon Corporation) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} hxxp://picasaweb.google.com/s/v/55.11/uploader2.cab (UploadListView Class) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Java Plug-in 1.7.0_04) O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Java Plug-in 1.7.0_04) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Java Plug-in 1.7.0_04) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{75666A37-75DB-477C-95C8-6D116147E1E5}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.07.25 00:40:00 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.05.30 19:29:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\VideoLAN [2012.05.30 19:26:58 | 000,419,488 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012.05.30 19:26:58 | 000,070,304 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012.05.30 19:15:03 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2012.05.30 19:10:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Sun [2012.05.30 19:05:02 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2012.05.30 19:03:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Oracle [2012.05.30 19:03:07 | 000,772,504 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\npDeployJava1.dll [2012.05.30 19:03:07 | 000,227,784 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe [2012.05.30 19:02:59 | 000,174,024 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe [2012.05.30 19:02:59 | 000,174,024 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe [2012.05.29 14:06:22 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2012.05.29 10:31:32 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2012.05.29 10:27:37 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Admin\Desktop\esetsmartinstaller_enu.exe [2012.05.29 09:20:18 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2012.05.29 09:20:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.05.29 09:20:09 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.05.29 09:20:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.05.29 01:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Avira [2012.05.29 01:21:38 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012.05.29 01:21:38 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012.05.29 01:21:38 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012.05.29 01:21:38 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012.05.29 01:21:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2012.05.29 01:21:25 | 000,000,000 | ---D | C] -- C:\Qoobox [2012.05.28 10:22:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\CCleaner [2012.05.28 10:21:59 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2012.05.28 10:12:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Avira [2012.05.28 10:12:08 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2012.05.28 10:12:05 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.05.28 10:12:04 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.05.28 10:12:04 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.05.28 10:11:42 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.05.28 10:11:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira [2012.05.27 22:37:00 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2012.05.27 22:37:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy [2012.05.27 22:30:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\HiJackThis [2012.05.27 22:30:04 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2012.05.27 22:25:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes [2012.05.27 22:25:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes [2012.05.27 22:25:06 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\malwarebytes_antimalware_1.61.exe [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.05.30 19:30:01 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.05.30 19:29:32 | 000,000,697 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\VLC media player.lnk [2012.05.30 19:26:59 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.05.30 19:26:58 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012.05.30 19:26:58 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012.05.30 19:25:31 | 000,000,431 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics [2012.05.30 19:24:16 | 000,002,213 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk [2012.05.30 19:24:12 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.05.30 19:24:05 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.05.30 19:16:31 | 000,001,720 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader X.lnk [2012.05.30 19:02:47 | 000,227,784 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe [2012.05.30 19:02:47 | 000,174,024 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe [2012.05.30 19:02:47 | 000,174,024 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe [2012.05.30 19:02:47 | 000,143,872 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javacpl.cpl [2012.05.30 18:53:36 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.05.29 10:27:39 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Admin\Desktop\esetsmartinstaller_enu.exe [2012.05.29 09:22:01 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2012.05.29 09:20:11 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.29 01:31:27 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.05.28 10:36:51 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Mozilla Firefox.lnk [2012.05.28 10:22:00 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk [2012.05.28 10:12:23 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira Control Center.lnk [2012.05.27 23:15:30 | 000,000,297 | ---- | M] () -- C:\boot.ini [2012.05.27 22:31:00 | 000,002,431 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.lnk [2012.05.27 22:23:46 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\malwarebytes_antimalware_1.61.exe [2012.05.27 13:48:37 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012.05.18 05:14:35 | 000,132,168 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.05.17 23:42:32 | 000,428,712 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.05.17 23:42:32 | 000,415,606 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.05.17 23:42:32 | 000,075,558 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.05.17 23:42:32 | 000,063,754 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.05.30 19:29:32 | 000,000,697 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\VLC media player.lnk [2012.05.30 19:26:59 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.05.30 19:16:31 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader X.lnk [2012.05.30 19:16:31 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader X.lnk [2012.05.29 09:20:11 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.29 01:21:38 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012.05.29 01:21:38 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012.05.29 01:21:38 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012.05.29 01:21:38 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012.05.29 01:21:38 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2012.05.28 10:22:00 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk [2012.05.28 10:12:23 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Avira Control Center.lnk [2012.05.27 22:30:05 | 000,002,431 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.lnk [2012.02.14 23:15:20 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.09.25 23:53:26 | 000,013,120 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys [2010.08.02 19:30:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI < End of report > Und, wie siehts aus? |
|
31.05.2012, 07:45
| #12 | |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Schritt 1: VT Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Zitat:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
31.05.2012, 08:06
| #13 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? Guten Morgen, hier der Link: https://www.virustotal.com/file/29743e23a6407bab433e4b3f0b06a04c24674fe4e079d69c104066fa723380b1/analysis/1338447492/ Ich bin ja wirklcih mal gespannt, was das alles bedeutet. Ich würde mich freuen, wenn du mir am Schluss kurz zusammenfassen könntest, ob und was ich noch so auf meinem Rechner hatte. Danke und viele Grüße |
|
31.05.2012, 08:17
| #14 | |
| /// Malwareteam | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ?Zitat:
Macht der Rechner noch Probleme?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
31.05.2012, 08:54
| #15 |
| | Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? hallo! der Rechner hat ja vorher keine Probleme gemacht in dem Sinne dass ich irgendwas an der performance gemerkt hätte. es war eben nur so dass antivir Alarm geschlagen hat und ich dann per cd gebootet/gescannt/gelöscht habe.obwohl mir alle sagten dass es damit erledigt sein dürfte wollte ich aber noch mal auf Nummer sicher gehen bevor ich sensible Daten wie beim online-banking oder bei kaufGeschäften übermittle. und ich denke das war sicher nicht falsch oder? deswegen bin ich sehr gespannt auf deine Antwort. am dieser stelle schon mal einen riesigen dank dass du dich so nett um mich und mein Problem gekümmert hast. viele grüße und einen schönen Tag! |
|
| Themen zu Ist nach Boot von Antivir Rescue CD mein Rechner frei von TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 ? |
| alarm, antivir, boot, check, cookies, dateien, dateien gelöscht, dinger, durchgeführt, ergebnis, ergebnisse, frage, freund, gelöscht, hijack, hijack this, malwarebytes, rechner, rescue, rescue cd, rojaner gefunden, spybot, this, tr/atraps.gen, trojaner, trojaner gefunden, trojaner tr/atraps.gen, versucht, würde, zuletzt |
Textbox.
Linear-Darstellung
