|
Log-Analyse und Auswertung: Befall mit 3cel21f1px - TROJ_DLOADR.KOSWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.06.2012, 21:55 | #1 |
| Befall mit 3cel21f1px - TROJ_DLOADR.KOS Hallo Allerseits, ich bin heute auf einen Virus gestoßen. Mein Protokoll dazu mit den eingefügten Dateien der einzelnen Aktionen: 22.06.2012, mittags Infektion auf PC *** (XP, SP3, aktuelle Updates, TrendMicro-Antivirus), erkannt durch Zufall bei der Installation einer Anwendung. Aus Gewohnheit den Taskmanager geöffnet, eine 3cel21f1px.exe im Speicher. Prozess beendet, Datei im Userprofil gefunden. Ließ sich nicht entfernen. Aufruf in der Registry gesucht und gefunden, nach Berechtigungsanpassung entfernt. Die Einträge dort sind nach Neustart wieder vorhanden. Weitere Einträge mit 20c5b8c97b268f19, welche dazu gehören, sind nicht zugreifbar wegen fehlender Berechtigungen. Die Änderung der Berechtigungen daran wird verweigert. Der ursprünglich installierte TrendMicro Antivirus war seit dem Befall deaktiviert, konnte auch keine Updates mehr holen. Also diesen deinstalliert. Die Installation einer aktuelleren Version schlägt fehl (Fehlermeldung als Grafik gespeichert, kann vorgelegt werden). 3cel21f1px.exe zu Virustotal.com geladen, Befall bestätigt. TrendMicro Housecall benutzt, voller Scan. Protokoll: Code:
ATTFilter Damage Cleanup Engine (DCE) 6.5(Build 1055)Windows XP(Build 2600: Service Pack 3) Start time : Fr Jun 22 2012 13:35:39Load Damage Cleanup Template (DCT) "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HouseCall\pattern\TMRDCT.ptn" (version ) [fail]Load Damage Cleanup Template (DCT) "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HouseCall\pattern\tsc.ptn" (version 1210) [success]GenericClean::Pattern:WORM_DOWNAD,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe GenericClean::Pattern:PE_PATCHEP.A,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe GenericClean::Pattern:BKDR_TIDIES,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe GenericClean::Pattern:BKDR_POISON,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe TSC_GENCLEAN[virus found]-->reboot delete file("C:\Dokumente und Einstellungen\***\3cel21f1px.exe","","") successGenericClean::Pattern:TSC_GENCLEAN,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe Complete time : Fr Jun 22 2012 13:35:50Execute pattern count(5), Virus found count(1), Virus clean count(1), Clean failed count(0) Malwarebytes geholt, aktualisiert, Quick-Scan. Protokoll: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.22.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: *** [Administrator] Schutz: Deaktiviert 22.06.2012 20:03:59 mbam-log-2012-06-22 (20-03-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 362320 Laufzeit: 2 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 2 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.22.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: *** [Administrator] Schutz: Deaktiviert 22.06.2012 20:08:49 mbam-log-2012-06-22 (20-08-49).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 617085 Laufzeit: 52 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058821.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058852.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058891.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) OTL geholt, Quickscan laufen lassen. Protokoll (OTL.txt): Code:
ATTFilter OTL logfile created on: 22.06.2012 21:49:30 - Run 1 OTL by OldTimer - Version 3.2.51.0 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,50 Gb Available Physical Memory | 75,26% Memory free 3,85 Gb Paging File | 3,53 Gb Available in Paging File | 91,65% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 233,80 Gb Total Space | 143,96 Gb Free Space | 61,57% Space Free | Partition Type: NTFS Computer Name: *** | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.06.22 21:49:03 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe PRC - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe PRC - [2010.10.15 05:16:30 | 000,011,120 | ---- | M] (Haufe Mediengruppe) -- C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe PRC - [2010.07.08 15:28:56 | 000,815,704 | ---- | M] (GlavSoft LLC.) -- C:\Programme\TightVNC\tvnserver.exe PRC - [2009.09.22 11:50:36 | 000,073,728 | ---- | M] (Software 2000 Limited) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.04.14 14:00:00 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe ========== Modules (No Company Name) ========== MOD - [2010.10.15 05:58:10 | 000,013,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\TextIndexNG2\normalizer.pyd MOD - [2010.10.15 05:58:08 | 000,012,656 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\TextIndexNG2\indexsupport.pyd MOD - [2010.10.15 05:58:06 | 000,341,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\_jpype.pyd MOD - [2010.10.15 05:58:04 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ZODB.winlock.pyd MOD - [2010.10.15 05:57:58 | 000,013,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Record._Record.pyd MOD - [2010.10.15 05:57:54 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Products.ZCTextIndex.stopper.pyd MOD - [2010.10.15 05:57:52 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Products.ZCTextIndex.okascore.pyd MOD - [2010.10.15 05:57:44 | 000,014,192 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.TimeStamp.pyd MOD - [2010.10.15 05:57:42 | 000,021,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.cPersistence.pyd MOD - [2010.10.15 05:57:42 | 000,020,848 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.cPickleCache.pyd MOD - [2010.10.15 05:57:40 | 000,011,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Persistence._Persistence.pyd MOD - [2010.10.15 05:57:36 | 000,011,632 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\MultiMapping._MultiMapping.pyd MOD - [2010.10.15 05:57:34 | 000,011,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Missing._Missing.pyd MOD - [2010.10.15 05:57:32 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\MethodObject._MethodObject.pyd MOD - [2010.10.15 05:57:30 | 000,271,728 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\M2Crypto.__m2crypto.pyd MOD - [2010.10.15 05:57:28 | 000,020,848 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ExtensionClass._ExtensionClass.pyd MOD - [2010.10.15 05:57:26 | 000,020,336 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\DocumentTemplate.cDocumentTemplate.pyd MOD - [2010.10.15 05:57:24 | 000,010,608 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ComputedAttribute._ComputedAttribute.pyd MOD - [2010.10.15 05:57:22 | 000,058,736 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._OOBTree.pyd MOD - [2010.10.15 05:57:20 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._OIBTree.pyd MOD - [2010.10.15 05:57:20 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._IOBTree.pyd MOD - [2010.10.15 05:57:18 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._IIBTree.pyd MOD - [2010.10.15 05:57:14 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._fsBTree.pyd MOD - [2010.10.15 05:57:12 | 000,026,480 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Acquisition._Acquisition.pyd MOD - [2010.10.15 05:57:10 | 000,026,992 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\AccessControl.cAccessControl.pyd MOD - [2010.10.15 05:22:34 | 000,037,744 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32service.pyd MOD - [2010.10.15 05:22:32 | 000,107,888 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32security.pyd MOD - [2010.10.15 05:22:30 | 000,032,112 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32process.pyd MOD - [2010.10.15 05:22:26 | 000,021,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32pipe.pyd MOD - [2010.10.15 05:22:14 | 000,083,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32file.pyd MOD - [2010.10.15 05:22:12 | 000,019,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32evtlog.pyd MOD - [2010.10.15 05:22:10 | 000,019,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32event.pyd MOD - [2010.10.15 05:22:06 | 000,075,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32api.pyd MOD - [2010.10.15 05:22:02 | 000,029,552 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\servicemanager.pyd MOD - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe MOD - [2010.10.15 05:21:46 | 000,103,792 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\pywintypes24.dll MOD - [2010.10.15 05:16:48 | 000,017,264 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\_ssl.pyd MOD - [2010.10.15 05:16:46 | 000,054,640 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\_socket.pyd MOD - [2010.10.15 05:16:42 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\zlib.pyd MOD - [2010.10.15 05:16:38 | 000,140,656 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\pyexpat.pyd MOD - [2010.10.15 05:16:38 | 000,013,680 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\select.pyd MOD - [2010.10.15 05:11:22 | 000,161,136 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\ssleay32.dll MOD - [2010.10.15 05:11:20 | 000,832,880 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\libeay32.dll MOD - [2010.10.14 07:38:50 | 000,583,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\osr32v10.dll MOD - [2010.07.08 15:28:56 | 000,068,696 | ---- | M] () -- C:\Programme\TightVNC\screenhooks.dll MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ========== Win32 Services (SafeList) ========== SRV - [2012.06.19 07:42:49 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.07 08:59:15 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () [Auto | Running] -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe -- (HRService) SRV - [2010.07.08 15:28:56 | 000,815,704 | ---- | M] (GlavSoft LLC.) [Auto | Running] -- C:\Programme\TightVNC\tvnserver.exe -- (tvnserver) SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2008.06.24 17:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | Disabled | Stopped] -- System32\DRIVERS\intelide.sys -- (IntelIde) DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.09.30 22:59:16 | 000,092,112 | ---- | M] (Trend Micro Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi) DRV - [2008.06.02 18:10:18 | 004,752,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.05.07 13:31:16 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [1999.01.15 07:38:00 | 000,073,216 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\SENTINEL.SYS -- (Sentinel) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{22C7F6C6-8D67-4534-92B5-529A0EC09405}: C:\Programme\Trend Micro\AMSP\module\20004\FxExt\firefoxextension\ FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.19 07:42:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.05 10:17:00 | 000,000,000 | ---D | M] [2012.06.22 13:25:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2011.11.09 15:35:39 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.06.19 07:42:49 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.02.16 09:00:13 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.02.16 09:00:13 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.02.16 09:00:13 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.02.16 09:00:13 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.02.16 09:00:13 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.02.16 09:00:13 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1242\6.6.1089\TmIEPlg.dll File not found O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll () O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [tvncontrol] C:\Programme\TightVNC\tvnserver.exe (GlavSoft LLC.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hardcopy.exe.lnk = C:\Hardcopy\hardcopy.exe (Siegfried Weckmann) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://w2ksrv:4343/officescan/console/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class) O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://w2ksrv:4343/officescan/console/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1340370020557 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC2A} https://***:4343/SMB/console/html/root/AtxEnc.cab (Encrypt Class) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *** O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}: NameServer = *.*.*.* O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1242\6.6.1089\TmIEPlg.dll File not found O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:AutorunsDisabled () - O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.11.15 17:20:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.06.22 20:01:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2012.06.22 20:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.06.22 20:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.06.22 20:01:48 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.06.22 20:01:48 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.06.22 20:00:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2012.06.22 20:00:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe [2012.06.22 19:49:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search [2012.06.22 19:42:52 | 000,092,112 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmtdi.sys [2012.06.22 19:42:48 | 000,191,248 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys [2012.06.22 16:30:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TightVNC [2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Programme\TightVNC [2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TightVNC [2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TightVNC [2012.06.22 14:50:22 | 000,081,168 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmactmon.sys [2012.06.22 14:50:22 | 000,065,296 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmevtmgr.sys [2012.06.22 13:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities [2012.06.22 13:38:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search [2012.06.22 13:35:18 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\PrivacIE [2012.06.22 13:26:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads [2012.06.22 13:25:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla [2012.06.22 13:25:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla [2012.06.22 13:18:19 | 000,000,000 | ---D | C] -- C:\Programme\Autoruns [2012.06.22 13:16:42 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache [2012.06.22 12:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Tools [2012.06.22 12:55:08 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio [2012.06.22 12:54:46 | 000,000,000 | ---D | C] -- C:\Programme\Snapshot Viewer [2012.06.22 12:54:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\Twain32 [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.06.22 21:47:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2012.06.22 21:10:09 | 000,001,558 | ---- | M] () -- C:\WINDOWS\hardcopy.ini [2012.06.22 21:10:08 | 000,248,739 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2012.06.22 21:10:04 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.06.22 21:03:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.06.22 21:03:01 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys [2012.06.22 17:38:31 | 001,804,221 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\census.cache [2012.06.22 17:38:24 | 000,217,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ars.cache [2012.06.22 14:58:15 | 000,638,920 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.06.22 14:58:15 | 000,444,214 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.06.22 14:58:15 | 000,146,722 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.06.22 14:58:15 | 000,072,472 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.06.22 14:42:00 | 000,462,316 | ---- | M] () -- C:\WINDOWS\System32\prfh0407.dat [2012.06.22 14:42:00 | 000,085,526 | ---- | M] () -- C:\WINDOWS\System32\prfc0407.dat [2012.06.22 13:50:42 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache [2012.06.22 13:40:58 | 000,014,640 | ---- | M] () -- C:\WINDOWS\cfgall.ini [2012.06.22 13:36:59 | 000,000,430 | ---- | M] () -- C:\WINDOWS\DCEBOOT.RST [2012.06.22 13:35:50 | 000,022,032 | ---- | M] () -- C:\WINDOWS\DCEBoot.exe [2012.06.22 13:19:38 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.06.22 13:19:38 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.06.22 13:19:37 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.06.22 13:06:34 | 000,423,816 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.06.22 12:55:45 | 000,004,335 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI [2012.06.22 12:55:45 | 000,000,487 | ---- | M] () -- C:\WINDOWS\ODBC.INI [2012.06.22 12:55:45 | 000,000,063 | ---- | M] () -- C:\WINDOWS\mdm.ini [2012.06.06 17:27:23 | 000,000,536 | ---- | M] () -- C:\WINDOWS\Integra.ini [2012.05.31 16:42:10 | 000,005,216 | ---- | M] () -- C:\outputDoc.xml [2012.05.31 16:39:03 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT [2012.05.31 16:38:32 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT [2012.05.29 07:43:28 | 000,067,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys [2012.05.25 08:13:57 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.ex0 [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.06.22 21:47:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2012.06.22 17:38:31 | 001,804,221 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\census.cache [2012.06.22 17:38:24 | 000,217,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ars.cache [2012.06.22 13:36:59 | 000,000,430 | ---- | C] () -- C:\WINDOWS\DCEBOOT.RST [2012.06.22 13:35:50 | 000,022,032 | ---- | C] () -- C:\WINDOWS\DCEBoot.exe [2012.06.22 13:26:45 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache [2012.06.22 13:15:14 | 2145,570,816 | -HS- | C] () -- C:\hiberfil.sys [2012.06.22 12:55:45 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini [2012.06.22 12:55:18 | 000,002,541 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Access.lnk [2012.05.29 07:43:28 | 000,067,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys [2012.05.25 08:13:57 | 000,102,400 | ---- | C] () -- C:\WINDOWS\RegBootClean.ex0 [2012.05.24 12:38:47 | 000,005,216 | ---- | C] () -- C:\outputDoc.xml [2012.05.14 16:57:48 | 000,319,952 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2012.02.16 08:40:58 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.11.29 09:44:33 | 000,005,938 | ---- | C] () -- C:\WINDOWS\cfgrt_ex.ini [2011.11.09 15:35:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2011.02.16 16:37:20 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat [2010.10.21 14:29:17 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2010.10.11 10:55:56 | 000,001,743 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2010.07.22 14:06:01 | 000,462,316 | ---- | C] () -- C:\WINDOWS\System32\prfh0407.dat [2010.07.22 14:06:01 | 000,085,526 | ---- | C] () -- C:\WINDOWS\System32\prfc0407.dat [2010.06.08 09:15:21 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\docInfo [2010.06.08 09:15:21 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT [2010.06.08 09:14:04 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\designjet [2010.06.08 09:14:04 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT [2009.08.10 09:13:39 | 000,003,568 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol [2009.07.08 15:46:41 | 000,014,852 | ---- | C] () -- C:\Programme\settings.dat ========== LOP Check ========== [2012.06.22 16:30:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TightVNC [2012.06.22 13:38:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search [2012.06.22 19:49:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search [2011.02.22 14:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk [2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp [2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESRI [2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Filter [2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Animals [2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe [2011.02.22 14:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon [2011.02.22 14:14:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15 ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 22.06.2012 21:49:30 - Run 1 OTL by OldTimer - Version 3.2.51.0 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,50 Gb Available Physical Memory | 75,26% Memory free 3,85 Gb Paging File | 3,53 Gb Available in Paging File | 91,65% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 233,80 Gb Total Space | 143,96 Gb Free Space | 61,57% Space Free | Partition Type: NTFS Computer Name: *** | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\TightVNC\tvnserver.exe" = C:\Programme\TightVNC\tvnserver.exe:*:Enabled:TightVNC Server -- (GlavSoft LLC.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{00100407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 SR-1 "{02C85EC5-E864-4847-AF55-42730861004C}" = MrvlUsgTracking "{07DF154F-D809-11DF-920A-005056B12123}" = Haufe iDesk-Service "{0F32914F-A633-4516-B531-7084C8F19F93}" = Haufe iDesk-Browser "{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch "{237CD223-1B9D-47E8-A76C-E478B83CCEA2}" = File Uploader "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21 "{2767DEDE-EA9D-4FCE-A06A-40F4DD293330}" = hppusgP1000 "{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup "{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{5783F2D6-7028-0407-0000-0060B0CE6BBA}" = DWG TrueView 2009 "{58ECE031-9AAD-4011-B34A-BC78E77527E2}" = hppMSRedist "{664C3BDC-1BCF-4EA6-A127-E61430501031}" = Nero 8 Essentials "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply "{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3) "{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In "{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007 "{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3) "{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU) "{993E1907-DC8A-485F-B724-9BCD3F9EA468}" = ArcGIS Engine Runtime "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch "{B909C433-533E-4331-989F-EA6BBEC7A6DD}" = LEXsoft Professional 3.1 "{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX "{CB0A356C-F46F-4ECB-9F7A-C892FA154096}" = GeoOffice express 2.2.5 "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}" = Nikon Message Center "{E0D51394-1D45-460A-B62D-383BC4F8B335}" = QuickTime "{E3034C24-8549-4DC4-81B3-B79F1DEDB1D1}" = Haufe Formular-Manager "{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant "{E9757890-7EC5-46C8-99AB-B00F07B6525C}" = Nikon Transfer "{F007CBCE-D714-4C0B-8CE9-9B0D78116468}" = ViewNX "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F18046C5-1C4E-4BE1-A3D6-A6F970E2E8E8}" = ArcSoft Panorama Maker 5 "{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack "{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "DWG TrueView 2009" = DWG TrueView 2009 "GPL Ghostscript 9.00" = GPL Ghostscript 9.00 "GSview 4.9" = GSview 4.9 "Hardcopy" = Uninstall Hardcopy "HDMI" = Intel(R) Graphics Media Accelerator Driver "HP LaserJet P1000 series" = HP LaserJet P1000 series "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400 "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "numpy-py2.5" = Python 2.5 numpy-1.0.3 "NVIDIA Drivers" = NVIDIA Drivers "NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager "PDFCreator Toolbar" = PDFCreator Toolbar "PROHYBRIDR" = 2007 Microsoft Office system "Python 2.5 numpy-1.0.3" = Python 2.5 numpy-1.0.3 "Python 2.5.1" = Python 2.5.1 "Quantum GIS Copiapo" = Quantum GIS Copiapo 1.6.0 "Rainbow Sentinel Driver" = Sentinel System Driver "TightVNC" = TightVNC 2.0.2 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 22.06.2012 08:50:28 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung utilRollback.exe, Version 1.6.0.1242, fehlgeschlagenes Modul utilDebugLog.dll, Version 1.6.0.1244, Fehleradresse 0x00001e49. Error - 22.06.2012 08:51:01 | Computer Name = *** | Source = Application Error | ID = 1001 Description = Fehlerhafter Speicherbereich -1574768970. Error - 22.06.2012 09:59:08 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 10:04:11 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 10:09:15 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 10:14:18 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 10:19:22 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 10:24:24 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030. Error - 22.06.2012 13:42:55 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung utilRollback.exe, Version 1.6.0.1242, fehlgeschlagenes Modul utilDebugLog.dll, Version 1.6.0.1244, Fehleradresse 0x00001e49. Error - 22.06.2012 13:43:03 | Computer Name = *** | Source = Application Error | ID = 1001 Description = Fehlerhafter Speicherbereich -1574768970. [ OSession Events ] Error - 29.03.2011 08:10:04 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 14470 seconds with 3180 seconds of active time. This session ended with a crash. Error - 31.08.2011 04:39:38 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 3825 seconds with 2040 seconds of active time. This session ended with a crash. [ System Events ] Error - 19.06.2012 01:38:58 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 Error - 20.06.2012 02:53:50 | Computer Name = *** | Source = BROWSER | ID = 8032 Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}" zu oft fehl. Der Sicherungssuchdienst wird beendet. Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Trend Micro Filter" ist vom Dienst "Trend Micro PreFilter" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 Error - 21.06.2012 01:35:48 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 Error - 21.06.2012 04:43:54 | Computer Name = *** | Source = BROWSER | ID = 8032 Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}" zu oft fehl. Der Sicherungssuchdienst wird beendet. Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Trend Micro Filter" ist vom Dienst "Trend Micro PreFilter" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers nicht gestartet: %%31 < End of report > C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys. GMER geholt, bringt nur Fehlermeldungen (als Grafik gespeichert), findet auch nichts. Beendet. Ich könnte noch versuchen, von lokaler Cd ein Windows PE zu starten und diese sys-Datei und deren Aufrufe zu beseitigen, weiß aber nicht, ob das erfolgreich ist (erfahrungsgemäß klappt das gut). Dazu müsste ich allerdings wieder physisch an die Maschine ran und das kostet mich Sprit und Zeit. Gibt es eine Möglichkeit, das aus der Ferne zu erledigen? Ich lasse die Kiste jetzt laufen, komme jederzeit aus der Ferne ran, solange sie läuft. Ich habe leider nicht darauf geachtet, ob im Bios ein WakeOnLan aktiviert ist... MfG. Andreas Hallo, nach einigen Versuchen ist es mir gelungen, die benannte sys-Datei zu löschen. Das geht auch aus der Ferne am laufenden System, wenn man die Datei mit 8.3-Name (per dir /x ermittelt) als PendingFileRenameOperations in die Registry einträgt. Beim nächsten Neustart ist die Datei weg und wird auch nicht mehr im Prozessexplorer aufgelistet. Ich lasse nun erneut alle Suchvorgange laufen. MfG. Andreas |
23.06.2012, 22:04 | #2 |
| Befall mit 3cel21f1px - TROJ_DLOADR.KOS Hallo,
__________________es ist alles gut, ich benötige keine Hilfe mehr. Nach Löschen der Datei ließen sie die unzugreifbaren Aufrufe in der Registry auch anfassen und rauswerfen. Kein Tool hat noch Auffälligkeiten gefunden. Die Windows-Updates liefen ganz von allein los und der Antivirus hat sich ganz brav installiert. Vielen Dank für die vielen Hinweise zu den Tools, welche hier benutzt wurden. Damit bekommt man vieles gerichtet, was manuell kaum zu machen ist. Ein ganzer Koffer voll sinnvoller Zutaten hilft dem erfahrenen Benutzer sehr und ermöglicht die Reparatur von befallenen Systemen. MfG. Andreas |
Themen zu Befall mit 3cel21f1px - TROJ_DLOADR.KOS |
aufgegeben, aufrufe, bho, dateisystem, desktop, document, encrypt, error, excel, failed, firefox, firefox 13.0.1, flash player, fontcache, google earth, gruppe, helper, heuristiks/extra, heuristiks/shuriken, index, installation, kis, logfile, microsoft office word, mozilla, office 2007, plug-in, prozess, realtek, registry, rundll, searchscopes, security, software, starten, taskmanager, udp, updates, virus, virustotal.com, windows, windows internet, windows xp |