| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.AgentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.07.2012, 19:49
| #1 |
| |  EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent Grüss Gott zusammen, ich habe seit Sonntag folgende Probleme, habe schon versucht diese zu bereinigen, aber es funktioniert nicht: -> Firefox: https-Seiten nicht erreichbar; Chronik nicht verfügbar, obwohl in Firefox eingestellt ist, dass bei Anklicken der Adressleiste die letzten Seiten angezeigt werden (der Browser verhält sich so, als würde er mich zu Eingaben zwingen wollen). -> Microsoft Outlook 2000 (9.0.0.2814) stürzt ab - tw. beim senden von Mails, tw. beim Starten der Anwendung, tw. beim Lesen der Mails. -> von der Telekom habe ich eine Mail erhalten, dass von meinem PC Hackerangriffe durchgeführt wurden. -> von eBay habe ich eine Mail erhalten, dass auf mein Konto unberechtigt zugegriffen wurde und ich mein Passwort ändern solle und alle Daten prüfen solle wie Adresse, Kontonummer, Kartennummer etc... Folgendes habe ich bisher unternommen: Meinen Virenscanner Avira Free Antivirus aktualisiert auf die Version:12.0.0.1125 Suchengine: 8.02.10.106 vom 05.07.2012, Virendefinitionsdatei 7.11.35.174 vom 10.07.2012 und einen Virenscan durchgeführt. Scan 19:02 Uhr 1 Virus gefunden in C:\Windows\System32\appconf32.exe wurde der Trojaner TR/Kazy.80527.3 gefunden. sh. LOGFILE AVSCAN-20120710-190049-1F155E72.LOG Scan 21:49 Uhr 4 Viren gefunden C:\.....\user\anwendungsdaten\sun\java\deployment\... enthält Erkennungsmuster des Exploits EXP/2008-5353.AO sh. LOGFILE AVSCAN-20120710-204750-481D6A33.LOG ich habe in der Nacht noch einige Male versucht den Rechner zu durchsuchen: einmal wurde noch der TR/Kazy.80527.3 gefunden, aber 3 Mal lief der Suchlauf ohne Meldung durch. ABER: das Problem mit Firefox und Outlook besteht nach wie vor. Dann bin ich auf dieses Board gestossen, und habe Malwarebytes laufen lassen. Malwarebytes bringt bei jedem Lauf einige Meldungen. Nachfolgende Aufstellung: Trojan.BTSoft.Gen Stolen.Data Malware.Trace PUP.OfferBundler.ST Trojan.Banker Trojan.Agent in diversen Verzeichnissen. Auch hier hat das in die Quarantäne schieben nichts gebracht. Nach Neustart wieder dieselben Probleme. Jetzt gehe ich nach der Anleitung hier im Forum vor: 1. Anleitung lesen und Regeln befolgen 2. Programme die ich benötige herunterladen auf den PC 3. Netzwerkkabel ziehen (dies hier schreibe ich von einem Laptop im WLAN mit einem User ohne Adminberechtigung und hoffe, dass der Virus nicht durchs WLAN fliegt auf den Laptop ;-( ) 4. Anleitung befolgen Schritt 1: defogger starten; disable anklicken; kein Neustart erforderlich; keine Fehlermeldung; kein defogger_disable.log auf dem Desktop. Schritt 2: alle Programme schliessen (ich nehme an, die, die automatisch starten und rechts unten im Balken angezeigt werden sind nicht gemeint ?) und OTL starten (Defogger ist auch noch offen). Quick-Scan starten. OTL.TXTOTL Logfile: Code:
ATTFilter OTL logfile created on: 11.07.2012 19:43:52 - Run 1 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\User1\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,48% Memory free 3,35 Gb Paging File | 2,74 Gb Available in Paging File | 81,88% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 58,59 Gb Total Space | 7,55 Gb Free Space | 12,88% Space Free | Partition Type: NTFS Drive D: | 97,65 Gb Total Space | 87,04 Gb Free Space | 89,13% Space Free | Partition Type: NTFS Drive E: | 1,91 Gb Total Space | 1,91 Gb Free Space | 100,00% Space Free | Partition Type: FAT Drive G: | 33,65 Gb Total Space | 25,34 Gb Free Space | 75,29% Space Free | Partition Type: NTFS Drive H: | 55,01 Gb Total Space | 22,07 Gb Free Space | 40,11% Space Free | Partition Type: NTFS Drive K: | 301,35 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive L: | 37,26 Gb Total Space | 34,99 Gb Free Space | 93,92% Space Free | Partition Type: NTFS Drive N: | 9,77 Gb Total Space | 9,71 Gb Free Space | 99,46% Space Free | Partition Type: NTFS Drive O: | 74,08 Gb Total Space | 33,05 Gb Free Space | 44,61% Space Free | Partition Type: NTFS Drive P: | 58,59 Gb Total Space | 21,46 Gb Free Space | 36,63% Space Free | Partition Type: NTFS Drive V: | 27,95 Gb Total Space | 12,87 Gb Free Space | 46,05% Space Free | Partition Type: NTFS Drive W: | 19,53 Gb Total Space | 15,11 Gb Free Space | 77,36% Space Free | Partition Type: NTFS Drive Y: | 15,93 Gb Total Space | 8,73 Gb Free Space | 54,80% Space Free | Partition Type: NTFS Computer Name: C0000S01 | User Name: User1 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.11 18:28:24 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Eigene Dateien\Downloads\Defogger.exe PRC - [2012.07.10 21:47:19 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User1\Desktop\OTL.exe PRC - [2012.06.28 06:37:46 | 000,296,096 | ---- | M] (RealNetworks, Inc.) -- C:\Program Files\Real\RealPlayer\Update\realsched.exe PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.02 00:31:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.01.18 15:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.08.11 11:26:32 | 000,031,624 | ---- | M] (IBM Corp) -- P:\Programme\lotus\Notes\nslsvice.exe PRC - [2010.08.11 11:26:10 | 003,417,480 | ---- | M] (IBM) -- P:\Programme\lotus\Notes\nsd.exe PRC - [2008.05.30 16:51:05 | 000,436,839 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe PRC - [2008.05.30 16:51:05 | 000,151,552 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe PRC - [2008.05.30 16:51:05 | 000,069,632 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.06.26 20:27:46 | 000,312,320 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe PRC - [2006.01.07 03:36:10 | 000,081,920 | ---- | M] () -- C:\Programme\Sony\SonicStage\SSAAD.exe PRC - [2005.01.15 06:31:00 | 000,782,336 | ---- | M] (Sony Corporation) -- C:\Programme\Sony\MD Simple Burner\NetMDSB.exe PRC - [2004.07.14 05:16:06 | 000,139,264 | ---- | M] (OTi) -- C:\WINDOWS\system32\UStorSrv.exe PRC - [2004.07.03 09:15:20 | 000,036,864 | ---- | M] () -- C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe PRC - [2004.06.18 10:31:02 | 000,067,584 | R--- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE PRC - [2003.05.15 01:19:50 | 000,217,193 | ---- | M] (Adobe Systems Inc.) -- P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe ========== Modules (No Company Name) ========== MOD - [2012.07.11 18:28:24 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Eigene Dateien\Downloads\Defogger.exe MOD - [2012.04.16 23:11:02 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2006.01.07 03:36:10 | 000,081,920 | ---- | M] () -- C:\Programme\Sony\SonicStage\SSAAD.exe MOD - [2005.06.28 13:59:48 | 000,053,248 | ---- | M] () -- C:\Programme\Hercules\WebCam Station\PhotoImpression\Share\PIHook.dll MOD - [2005.01.06 18:33:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll MOD - [2004.07.26 11:34:36 | 000,139,264 | ---- | M] () -- C:\WINDOWS\system32\OPDSL.DLL MOD - [2004.07.03 09:15:20 | 000,036,864 | ---- | M] () -- C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe MOD - [2003.05.15 03:16:34 | 000,077,824 | ---- | M] () -- P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.DEU MOD - [2003.05.15 03:15:50 | 000,753,664 | ---- | M] () -- P:\Programme\Adobe\Acrobat 6.0\Distillr\AdistRes.DEU MOD - [2003.05.15 01:03:46 | 000,147,456 | ---- | M] () -- P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ========== Win32 Services (SafeList) ========== SRV - [2012.06.23 12:39:57 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.06.20 05:54:49 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2010.08.11 11:26:32 | 000,031,624 | ---- | M] (IBM Corp) [Auto | Running] -- P:\Programme\lotus\Notes\nslsvice.exe -- (Lotus Notes Single Logon) SRV - [2010.08.11 11:26:10 | 003,417,480 | ---- | M] (IBM) [Auto | Running] -- P:\Programme\lotus\Notes\nsd.exe -- (Lotus Notes Diagnostics) SRV - [2008.05.30 16:51:05 | 000,151,552 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) SRV - [2007.03.26 07:07:26 | 000,310,008 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe -- (RoxLiveShare9) SRV - [2007.03.26 07:07:26 | 000,166,648 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe -- (RoxWatch9) SRV - [2007.03.26 07:07:20 | 001,010,424 | ---- | M] (Sonic Solutions) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9) SRV - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend) SRV - [2006.01.06 23:25:12 | 000,069,632 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe -- (SSScsiSV) SRV - [2005.11.24 18:03:22 | 000,053,337 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe -- (MSCSPTISRV) SRV - [2005.11.24 17:57:44 | 000,053,337 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR) SRV - [2005.11.24 17:47:30 | 000,069,718 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe -- (SPTISRV) SRV - [2005.01.15 06:31:00 | 000,782,336 | ---- | M] (Sony Corporation) [Auto | Running] -- C:\Programme\Sony\MD Simple Burner\NetMDSB.exe -- (NetMDSB) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.07.14 05:16:06 | 000,139,264 | ---- | M] (OTi) [Auto | Running] -- C:\WINDOWS\System32\UStorSrv.exe -- (UStorage Server Service) SRV - [2004.04.30 11:53:42 | 000,102,400 | ---- | M] (GFI Software Ltd.) [Auto | Stopped] -- C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe -- (GFI LANguard N.S.S. 5.0 attendant service) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- K:\NTGLM7X.sys -- (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand | Stopped] -- K:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- K:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.07.11 18:38:39 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\vknvgqcm.sys -- (vsyqor) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2012.02.07 16:46:02 | 000,024,328 | ---- | M] (CPUID) [Kernel | On_Demand | Stopped] -- C:\Programme\CPUID\PC Wizard 2012\pcwiz_x32.sys -- (cpuz135) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.05.30 16:51:04 | 000,211,520 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter) DRV - [2008.05.30 16:51:04 | 000,082,400 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman) DRV - [2008.05.30 16:51:04 | 000,028,896 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter) DRV - [2007.02.18 00:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm) DRV - [2007.01.29 07:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2) DRV - [2005.07.11 19:16:34 | 000,012,569 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\MTiCtwl.sys -- (MagicTune) DRV - [2005.03.15 17:04:00 | 000,161,792 | ---- | M] (OmniVision Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ov530vid.sys -- (ovt530) DRV - [2005.02.23 14:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc) DRV - [2004.06.21 10:53:20 | 000,626,204 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2004.04.22 05:11:06 | 000,729,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2004.04.13 14:14:12 | 000,070,144 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp) DRV - [2004.02.24 05:08:52 | 000,400,384 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS) DRV - [2003.11.07 06:00:00 | 000,035,328 | R--- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2003.11.05 02:45:12 | 000,017,408 | R--- | M] (Promise Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\bb-run.sys -- (bb-run) DRV - [2003.07.02 04:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1) DRV - [2003.03.09 18:42:18 | 000,008,672 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\uscbs108.sys -- (uscbs108) DRV - [2003.03.09 18:41:38 | 000,102,336 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\uscsc108.sys -- (uscsc108) DRV - [2001.08.17 13:53:42 | 000,004,992 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\loop.sys -- (msloop) DRV - [2001.08.17 13:11:06 | 000,066,591 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\el90xbc5.sys -- (EL90XBC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\SearchScopes,DefaultScope = {6B275268-9A41-48FC-81BD-300C5684E88F} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{6B275268-9A41-48FC-81BD-300C5684E88F}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {46868735-c3fa-47ce-8ce7-cce51a66aceb}:1.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: fmconverter@gmail.com:1.0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@innoplus.de/ino3DViewer: C:\Programme\INNOVA-engineering GmbH\3D-Viewer-innoPlus\npIno3DViewer.dll (INNOVA-engineering GmbH Dresden) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.5.109: c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.5.109: c:\program files\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.5.109: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.5.109: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpplugin;version=15.0.5.109: c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\fmconverter@gmail.com: p:\Programme\Freemake\Freemake Video Converter\BrowserPlugin\Firefox\ [2011.03.23 21:25:40 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.06.28 06:38:08 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{C3949AC2-4B17-43ee-B4F1-D26B9D42404D}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.06.28 06:38:08 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\13001.018 [2012.07.08 10:12:00 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.20 05:54:50 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.06.28 06:38:28 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\WINDOWS\system32\13001.018 [2012.07.08 10:12:00 | 000,000,000 | ---D | M] [2008.09.02 21:27:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Extensions [2012.06.17 22:21:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Firefox\Profiles\1c9xk725.default\extensions [2010.10.19 06:38:34 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Firefox\Profiles\1c9xk725.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.01.12 20:18:09 | 000,000,000 | ---D | M] (oldbar) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Firefox\Profiles\1c9xk725.default\extensions\{46868735-c3fa-47ce-8ce7-cce51a66aceb} [2010.10.14 21:19:22 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Firefox\Profiles\1c9xk725.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2012.06.17 22:21:30 | 000,000,000 | ---D | M] (samfind Bookmarks Bar) -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Mozilla\Firefox\Profiles\1c9xk725.default\extensions\sam@samfind.com [2012.02.19 12:12:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.06.28 06:38:08 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT [2012.07.08 10:12:00 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\WINDOWS\SYSTEM32\13001.018 [2012.06.20 05:54:50 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.02.18 05:52:57 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.06.28 06:37:51 | 000,129,176 | ---- | M] (RealPlayer) -- C:\Programme\mozilla firefox\plugins\nprpplugin.dll [2012.06.20 05:54:47 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.06.20 05:54:47 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.06.20 05:54:47 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.06.20 05:54:47 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.20 05:54:47 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.20 05:54:47 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.12.31 15:46:02 | 000,000,907 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 192.168.0.11 S0000S01 # VPC-Test-Server O1 - Hosts: 192.168.0.11 D0000S01 # Domino-Test-Server O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - P:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PtiuPbmd] C:\WINDOWS\System32\ulutil2.dll (Promise Technology,Inc.) O4 - HKLM..\Run: [RoxWatchTray] C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe (Sonic Solutions) O4 - HKLM..\Run: [SODCPreLoad] P:\lotus\notes\framework\shared\eclipse\plugins\com.ibm.productivity.tools.base.app.win32_3.5.0.20100721-1539\preload.exe () O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SsAAD.exe] C:\Programme\Sony\SonicStage\SSAAD.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\program files\real\realplayer\update\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [LicenseValidator] C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Identities\{864DA59D-3225-45C5-BE6E-DE74A30CEE5A}\LicenseValidator.exe (Sea*Soft) O4 - HKCU..\Run: [RegistryBooster] "p:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000 File not found O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware (cleanup)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Color Calibration.lnk = C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = P:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\User1\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm () O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\User1\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O15 - HKCU\..Trusted Domains: vr-bildung.de ([www] https in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Ranges: Range1 ([http] in Local intranet) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C19BA668-18E9-4D51-823E-FA1280A4E6A3}: NameServer = 192.168.0.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\User1\Eigene Dateien\Eigene Bilder\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\User1\Eigene Dateien\Eigene Bilder\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.05.17 12:11:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2000.07.17 20:57:48 | 000,000,550 | R--- | M] () - K:\AUTORUN.INF -- [ CDFS ] O32 - AutoRun File - [2007.05.04 07:14:23 | 000,000,000 | ---- | M] () - L:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{d8ce9100-b278-11dd-a71d-0011097e71a0}\Shell\AutoRun\command - "" = F:\wd_windows_tools\WDSetup.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.11 19:39:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten-Dateien [2012.07.11 16:36:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Malwarebytes [2012.07.11 16:36:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.11 16:36:06 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.11 16:36:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.07.11 16:36:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.07.10 21:51:37 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User1\Desktop\OTL.exe [2012.07.10 18:47:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\McAfee [2012.07.10 18:46:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee [2012.07.10 06:28:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Avira [2012.07.09 22:15:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2012.07.09 22:14:58 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.07.09 22:14:58 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.07.09 22:14:58 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.07.09 22:14:58 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.07.09 22:14:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2012.07.09 18:18:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\vlc [2012.07.08 10:45:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\UAs [2012.07.08 10:12:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\13001.018 [2012.07.08 10:11:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock [2012.07.08 10:10:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\TeamViewer [2012.07.08 10:10:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Apple [2012.06.28 06:38:16 | 000,000,000 | ---D | C] -- C:\Programme\Real [2012.06.28 06:38:11 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared [2012.06.28 06:37:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealNetworks [2012.06.27 15:45:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UBCD4Win [2012.06.27 15:41:58 | 000,000,000 | ---D | C] -- C:\UBCD4Win [2012.06.26 22:27:09 | 000,000,000 | ---D | C] -- C:\Programme\Windows Defender [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.11 19:39:38 | 000,069,962 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html [2012.07.11 19:39:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.07.11 19:39:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.07.11 18:41:06 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe [2012.07.11 18:40:03 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.11 18:38:39 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\vknvgqcm.sys [2012.07.11 18:29:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\defogger_reenable [2012.07.11 17:00:14 | 000,000,004 | ---- | M] () -- C:\WINDOWS\System32\msdbcrpt.kar.{de6af992-0620-498f-922f-79ce716e7a55} [2012.07.11 17:00:14 | 000,000,004 | ---- | M] () -- C:\WINDOWS\System32\fsdbcrpt.kar.{de6af992-0620-498f-922f-79ce716e7a55} [2012.07.11 16:50:43 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.07.11 16:50:43 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-117609710-2147295373-839522115-1003.job [2012.07.11 16:50:41 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-117609710-2147295373-839522115-1004.job [2012.07.11 16:50:09 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.11 16:50:07 | 2147,012,608 | -HS- | M] () -- C:\hiberfil.sys [2012.07.11 16:36:10 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.10 22:26:05 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012.07.10 22:17:18 | 000,029,184 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.10 21:47:19 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User1\Desktop\OTL.exe [2012.07.09 22:15:08 | 000,001,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.07.08 10:11:44 | 000,000,051 | ---- | M] () -- C:\WINDOWS\System32\blckdom.res [2012.07.05 06:49:01 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-117609710-2147295373-839522115-1003.job [2012.06.28 06:38:21 | 000,000,821 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk [2012.06.28 06:37:48 | 000,272,896 | ---- | M] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll [2012.06.27 18:56:11 | 000,618,278 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\ISO1_DVD.nri [2012.06.26 18:17:10 | 000,096,147 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\Brahmsstr. - Volksbank Regensburg eG-GSLeiter Karl 26062012.pdf [2012.06.20 19:33:44 | 000,041,208 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\VR-Web Registrierung.pdf [2012.06.20 19:32:19 | 000,028,264 | ---- | M] () -- C:\Dokumente und Einstellungen\User1\Desktop\VR-Webmail bestellen.pdf [2012.06.18 13:04:54 | 000,228,000 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.06.17 23:28:35 | 000,504,348 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.06.17 23:28:35 | 000,482,038 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.06.17 23:28:35 | 000,096,304 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.06.17 23:28:35 | 000,080,494 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.06.17 23:18:21 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.11 19:39:27 | 000,069,962 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html [2012.07.11 18:41:06 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe [2012.07.11 18:38:39 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\vknvgqcm.sys [2012.07.11 18:29:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\defogger_reenable [2012.07.11 16:36:10 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.09 22:15:07 | 000,001,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.07.08 10:11:44 | 000,000,051 | ---- | C] () -- C:\WINDOWS\System32\blckdom.res [2012.06.28 06:38:21 | 000,000,821 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\RealPlayer.lnk [2012.06.27 18:56:11 | 000,618,278 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\ISO1_DVD.nri [2012.06.26 22:27:11 | 000,001,090 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Defender.lnk [2012.06.26 18:17:09 | 000,096,147 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\Brahmsstr. - Volksbank Regensburg eG-GSLeiter Karl 26062012.pdf [2012.06.20 19:33:43 | 000,041,208 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\VR-Web Registrierung.pdf [2012.06.20 19:32:19 | 000,028,264 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Desktop\VR-Webmail bestellen.pdf [2012.01.06 19:15:54 | 000,002,922 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\.recently-used.xbel [2011.12.27 17:02:41 | 000,088,911 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\install.xml [2011.03.23 22:24:53 | 000,206,638 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2011.01.10 23:09:18 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\software.cmd [2010.11.07 21:41:37 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.09.03 19:26:24 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2009.06.28 17:23:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.01.31 14:46:17 | 000,000,091 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\default.pls [2008.05.24 17:35:36 | 000,037,213 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR [2008.05.24 17:29:41 | 000,037,217 | ---- | C] () -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Tabulatorgetrennte Werte (Windows).ADR ========== LOP Check ========== [2011.05.29 11:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2011.04.30 22:49:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\AnvSoft [2008.05.17 20:13:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Blackberry Desktop [2010.10.14 21:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\DVDVideoSoft [2011.03.23 21:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.09.08 19:44:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\elsterformular [2012.05.14 06:23:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\GetRightToGo [2012.01.06 19:15:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\gtk-2.0 [2010.10.14 21:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\HamsterSoft [2008.05.18 10:32:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\LAN-Explorer [2011.02.10 11:03:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Priotecs [2008.05.17 20:26:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Research In Motion [2010.11.07 21:41:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Strokes 4.0 [2012.07.08 10:10:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\TeamViewer ========== Purity Check ========== < End of report > EXTRAS.TXTOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 11.07.2012 19:43:52 - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\User1\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,48% Memory free
3,35 Gb Paging File | 2,74 Gb Available in Paging File | 81,88% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 7,55 Gb Free Space | 12,88% Space Free | Partition Type: NTFS
Drive D: | 97,65 Gb Total Space | 87,04 Gb Free Space | 89,13% Space Free | Partition Type: NTFS
Drive E: | 1,91 Gb Total Space | 1,91 Gb Free Space | 100,00% Space Free | Partition Type: FAT
Drive G: | 33,65 Gb Total Space | 25,34 Gb Free Space | 75,29% Space Free | Partition Type: NTFS
Drive H: | 55,01 Gb Total Space | 22,07 Gb Free Space | 40,11% Space Free | Partition Type: NTFS
Drive K: | 301,35 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive L: | 37,26 Gb Total Space | 34,99 Gb Free Space | 93,92% Space Free | Partition Type: NTFS
Drive N: | 9,77 Gb Total Space | 9,71 Gb Free Space | 99,46% Space Free | Partition Type: NTFS
Drive O: | 74,08 Gb Total Space | 33,05 Gb Free Space | 44,61% Space Free | Partition Type: NTFS
Drive P: | 58,59 Gb Total Space | 21,46 Gb Free Space | 36,63% Space Free | Partition Type: NTFS
Drive V: | 27,95 Gb Total Space | 12,87 Gb Free Space | 46,05% Space Free | Partition Type: NTFS
Drive W: | 19,53 Gb Total Space | 15,11 Gb Free Space | 77,36% Space Free | Partition Type: NTFS
Drive Y: | 15,93 Gb Total Space | 8,73 Gb Free Space | 54,80% Space Free | Partition Type: NTFS
Computer Name: C0000S01 | User Name: User1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "P:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0674B216-AB46-42EB-BEA9-60702316154E}" = GFI LANguard Network Security Scanner
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{1C04D433-2EDF-4AFB-B31B-C0B13065092F}" = MagicTune3.5_Client
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HydraVision
"{3ED3F0E5-FB7E-4243-8B6D-E28EAD04DBA2}" = Die Völker 2 Gold
"{47E09785-B2FB-11D5-B8EE-00B0D0D26B88}" = MD Simple Burner 2.0.05
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5BAA3E57-4403-47C2-82FE-EA7C9D4A3D03}" = Lotus Notes 8.5.2 de
"{66D171AA-670F-4309-9C74-5BA7F7DBA0B3}" = Roxio Media Manager
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6FA6B993-5E5A-49DF-8AA3-A2BD0649F9A7}" = MovieJack 3 SE
"{75D6745B-2239-4182-A31F-F95CEBB35099}" = BlackBerry Desktop Software 4.2.2
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{7DC23742-239C-4412-885C-C09677B2BDD3}" = Jaws PDF Editor 2.5
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89B078C4-50B0-453E-BF53-3A7E6A0D85FA}" = Windows Support Tools
"{8A7CAA24-7B23-410B-A7C3-F994B0944160}" = Microsoft Virtual PC 2007
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A06275F4-324B-4E85-95E6-87B2CD729401}" = Windows Defender
"{A0EB195B-5876-48E6-879D-33D4B2102610}" = SonicStage 3.4
"{A250D351-A07F-4D5D-AB6C-693C69B9BFAF}" = Hercules Webcam
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC2C2126-2201-4D6B-86BE-364734257DCE}" = Polski 100
"{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A83000000003}" = Adobe Reader 8.3.1 - Deutsch
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B64B2351-10AE-4890-9D5E-F9BDC292801D}_is1" = Dietrich's AG PlanCAD-L
"{B96DB037-DBEA-4186-9081-9CBD537F82E8}" = 3D-Viewer-innoPlus
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFB17307-B244-4EAD-AE8E-CDAF440477C2}" = OpenMG Secure Module 4.4.00
"{D208F4A7-6B73-4C2A-8B1E-8756FCBA831E}" = Hercules WebCam Station
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop 5.0 Limited Edition" = Adobe Photoshop 5.0 Limited Edition
"Advent" = Advent Rising
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Empires II: The Conquerors Expansion 1.0" = Microsoft Age of Empires II: The Conquerors Expansion
"Aiseesoft Total Media Converter_is1" = Aiseesoft Total Media Converter
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Any Video Converter_is1" = Any Video Converter 3.3.2
"ArCon" = mb Software ArCon
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVS4YOU Video Converter 7_is1" = AVS Video Converter 7
"BlackBerry_{75D6745B-2239-4182-A31F-F95CEBB35099}" = BlackBerry Desktop Software 4.2.2
"CamStudio" = CamStudio
"Canon Digital Camera USB WIA Driver" = Canon Digital Camera USB WIA Driver
"Canon PhotoStitch 3.1" = Canon Utilities PhotoStitch 3.1
"Canon Utilities RAW Image Converter" = Canon Utilities RAW Image Converter
"ElsterFormular 11.5.1.4843" = ElsterFormular
"ElsterFormular für Privatanwender 12.2.1.6570p" = ElsterFormular für Privatanwender
"Free Studio_is1" = Free Studio version 4.9
"Free YouTube Download_is1" = Free YouTube Download version 2.10.31
"Freemake Video Converter_is1" = Freemake Video Converter Version 2.1.0
"FreePDF_XP" = FreePDF XP (Remove only)
"GardenComposerV4.0" = Garden Composer
"Hamster Free Video Converter_is1" = HamsterFreeVideoConverter
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{CFB17307-B244-4EAD-AE8E-CDAF440477C2}" = OpenMG Secure Module 4.4.00
"LAN-Explorer" = LAN-Explorer
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"OpenMG HotFix4.4-05-12-06-01" = OpenMG Limited Patch 4.4-06-13-19-01
"PC Wizard 2012_is1" = PC Wizard 2012.2.0
"PhotoRecord" = Canon PhotoRecord
"RealPlayer 15.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"RemoteCapture" = Canon Utilities RemoteCapture 2.1
"SmartSuite V99.0" = Lotus SmartSuite Version 9.5
"SUPER ©" = SUPER © Version 2009.bld.35 (Jan 5, 2009)
"Tomb Raider II" = Tomb Raider II
"TrueImage" = Acronis*True*Image
"UBCD4Win_is1" = UBCD4Win 3.50
"Uninstall_is1" = Uninstall 1.0.0.1
"Visio Technical" = Visio Technical
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.10
"winpcap-nmap" = winpcap-nmap 3.1
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works" = Microsoft Works 4.0
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowserEXDeInstall" = Canon Utilities ZoomBrowser EX
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"InstallShield_{7DC23742-239C-4412-885C-C09677B2BDD3}" = Jaws PDF Editor 2.5
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 10.07.2012 00:29:31 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 10.07.2012 00:30:51 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x0008839a.
Error - 10.07.2012 12:22:59 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 10.07.2012 12:30:59 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x0008839a.
Error - 10.07.2012 12:38:31 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x0008839a.
Error - 10.07.2012 14:47:33 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 10.07.2012 23:06:46 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 11.07.2012 10:01:14 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 11.07.2012 11:07:34 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
Error - 11.07.2012 13:01:49 | Computer Name = C0000S01 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
Modul outllib.dll, Version 9.0.0.2814, Fehleradresse 0x00036633.
[ System Events ]
Error - 16.11.2011 02:15:30 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 16.11.2011 10:20:44 | Computer Name = C0000S01 | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom1.
Error - 16.11.2011 11:33:23 | Computer Name = C0000S01 | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom1.
Error - 16.11.2011 17:37:31 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 17.11.2011 02:02:12 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 17.11.2011 11:42:30 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 17.11.2011 16:21:55 | Computer Name = C0000S01 | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom1.
Error - 17.11.2011 16:48:55 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 18.11.2011 02:13:10 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 18.11.2011 08:34:58 | Computer Name = C0000S01 | Source = Service Control Manager | ID = 7034
Description = Dienst "MD Simple Burner Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
< End of report >
Schritt 3: Ich habe ein x86-System => GMER starten. Gmer.txt einfügenGMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-11 20:34:50
Windows 5.1.2600 Service Pack 3 Harddisk3\DR3 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0 SAMSUNG_ rev.VM10
Running: 6rdngh4d.exe; Driver: C:\DOKUME~1\User1\LOKALE~1\Temp\uxlyqpog.sys
---- System - GMER 1.0.15 ----
SSDT BA6F16CC ZwClose
SSDT BA6F1686 ZwCreateKey
SSDT BA6F16D6 ZwCreateSection
SSDT BA6F167C ZwCreateThread
SSDT BA6F168B ZwDeleteKey
SSDT BA6F1695 ZwDeleteValueKey
SSDT BA6F16C7 ZwDuplicateObject
SSDT BA6F169A ZwLoadKey
SSDT BA6F1668 ZwOpenProcess
SSDT BA6F166D ZwOpenThread
SSDT BA6F16EF ZwQueryValueKey
SSDT BA6F16A4 ZwReplaceKey
SSDT BA6F16E0 ZwRequestWaitReplyPort
SSDT BA6F169F ZwRestoreKey
SSDT BA6F16DB ZwSetContextThread
SSDT BA6F16E5 ZwSetSecurityObject
SSDT BA6F1690 ZwSetValueKey
SSDT BA6F16EA ZwSystemDebugControl
SSDT BA6F1677 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2778 80501F88 4 Bytes [EA, 16, 6F, BA]
? ttnjy.sys Das System kann die angegebene Datei nicht finden. !
init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xB90F5900]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\iexplore.exe[648] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DC1642
.text C:\Programme\Internet Explorer\iexplore.exe[648] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00DC152C
.text C:\Programme\Internet Explorer\iexplore.exe[648] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00DC1871
.text C:\Programme\Internet Explorer\iexplore.exe[648] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00DC1758
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[648] WS2_32.dll!closesocket 71A13E2B 2 Bytes JMP 014E9370
.text C:\Programme\Internet Explorer\iexplore.exe[648] WS2_32.dll!closesocket + 3 71A13E2E 2 Bytes [AD, 8F]
.text C:\Programme\Internet Explorer\iexplore.exe[648] WS2_32.dll!connect 71A14A07 5 Bytes JMP 014E90E0
.text C:\Programme\Internet Explorer\iexplore.exe[648] WS2_32.dll!getpeername 71A20B68 5 Bytes JMP 014E9300
.text C:\WINDOWS\system32\wuauclt.exe[856] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01331642
.text C:\WINDOWS\system32\wuauclt.exe[856] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0133152C
.text C:\WINDOWS\system32\wuauclt.exe[856] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01331871
.text C:\WINDOWS\system32\wuauclt.exe[856] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01331758
.text C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe[2428] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F31642
.text C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe[2428] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F3152C
.text C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe[2428] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00F31871
.text C:\Dokumente und Einstellungen\User1\Desktop\6rdngh4d.exe[2428] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00F31758
.text C:\WINDOWS\Explorer.EXE[2892] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 02AE1642
.text C:\WINDOWS\Explorer.EXE[2892] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02AE152C
.text C:\WINDOWS\Explorer.EXE[2892] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 02AE1871
.text C:\WINDOWS\Explorer.EXE[2892] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 02AE1758
.text C:\WINDOWS\SOUNDMAN.EXE[2984] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01031642
.text C:\WINDOWS\SOUNDMAN.EXE[2984] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0103152C
.text C:\WINDOWS\SOUNDMAN.EXE[2984] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01031871
.text C:\WINDOWS\SOUNDMAN.EXE[2984] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01031758
.text C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2992] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01021642
.text C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2992] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0102152C
.text C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2992] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01021871
.text C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2992] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01021758
.text C:\Programme\FreePDF_XP\fpassist.exe[3028] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01461642
.text C:\Programme\FreePDF_XP\fpassist.exe[3028] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0146152C
.text C:\Programme\FreePDF_XP\fpassist.exe[3028] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01461871
.text C:\Programme\FreePDF_XP\fpassist.exe[3028] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01461758
.text C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe[3036] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FE1642
.text C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe[3036] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00FE152C
.text C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe[3036] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00FE1871
.text C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe[3036] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00FE1758
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[3044] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D01642
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[3044] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D0152C
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[3044] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00D01871
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[3044] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00D01758
.text C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe[3076] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01071642
.text C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe[3076] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0107152C
.text C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe[3076] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01071871
.text C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe[3076] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01071758
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3296] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F91642
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3296] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F9152C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3296] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00F91871
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3296] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00F91758
.text C:\program files\real\realplayer\update\realsched.exe[3344] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01681642
.text C:\program files\real\realplayer\update\realsched.exe[3344] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0168152C
.text C:\program files\real\realplayer\update\realsched.exe[3344] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
.text C:\program files\real\realplayer\update\realsched.exe[3344] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01681871
.text C:\program files\real\realplayer\update\realsched.exe[3344] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01681758
.text C:\WINDOWS\system32\ctfmon.exe[3468] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DD1642
.text C:\WINDOWS\system32\ctfmon.exe[3468] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00DD152C
.text C:\WINDOWS\system32\ctfmon.exe[3468] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00DD1871
.text C:\WINDOWS\system32\ctfmon.exe[3468] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00DD1758
.text C:\Programme\Internet Explorer\iexplore.exe[3496] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 013C1642
.text C:\Programme\Internet Explorer\iexplore.exe[3496] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 013C152C
.text C:\Programme\Internet Explorer\iexplore.exe[3496] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 013C1871
.text C:\Programme\Internet Explorer\iexplore.exe[3496] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 013C1758
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3496] WS2_32.dll!closesocket 71A13E2B 2 Bytes JMP 02A19370
.text C:\Programme\Internet Explorer\iexplore.exe[3496] WS2_32.dll!closesocket + 3 71A13E2E 2 Bytes [00, 91]
.text C:\Programme\Internet Explorer\iexplore.exe[3496] WS2_32.dll!connect 71A14A07 5 Bytes JMP 02A190E0
.text C:\Programme\Internet Explorer\iexplore.exe[3496] WS2_32.dll!getpeername 71A20B68 5 Bytes JMP 02A19300
.text P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe[3568] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DB1642
.text P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe[3568] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00DB152C
.text P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe[3568] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00DB1871
.text P:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe[3568] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00DB1758
.text C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe[3576] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F61642
.text C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe[3576] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F6152C
.text C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe[3576] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00F61871
.text C:\Programme\SEC\MagicTune3.5_Client\GammaTray.exe[3576] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00F61758
.text C:\WINDOWS\system32\wscntfy.exe[3616] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E91642
.text C:\WINDOWS\system32\wscntfy.exe[3616] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00E9152C
.text C:\WINDOWS\system32\wscntfy.exe[3616] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00E91871
.text C:\WINDOWS\system32\wscntfy.exe[3616] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00E91758
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
sh.a. zip-datei: Logfiles AVScan und Malware. Vielen Vielen herzlichen Dank !!!  |
|
13.07.2012, 22:54
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.AgentZitat:
Das Teil wird schon seit Jahren von MS nicht mehr supportet und ist ein Sicherheitsrisiko hoch drei! Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ |
|
14.07.2012, 16:16
| #3 |
| |  EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent Servus,
__________________Nein - habe Malwarebytes erst durch diese Seite kennengelernt. Habe jetzt alle Log-Dateien in der ZIP-Datei hochgeladen. Seit zwei Tagen finde ich nun nix mehr am PC an Viren - aber kann man sicher sein ? Viele Grüsse OUTLOOK 2000 ? nun: ich kann damit Mails versenden und empfangen und ich kann meine Mails ordnen. Mehr brauche ich nicht. Aus welchem Grund sollte ich also MS Geld in den Rachen werfen für eine neuere Version oder mich dauernd mit neueren Anwendungen und entsprechenden Migrationen herumschlagen solange die alte funktioniert ? Ich würde heute noch Wing Commander spielen, wenns auf meinem PC laufen würde ;-): |
|
14.07.2012, 16:23
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent Schonmal was davon gehört, dass jede Software irgendwann veraltet ist? Sie wird dann nicht mehr gepflegt, gefundene Sicherheitslücken können dann nicht mehr via Updates gestopft werden weil einfach keine Updates mehr bereitgestellt werden! "Dauernd neue Versionen" kann ja in deinem Fall nun überhaupt nicht sein!  Ich kann ja verstehen, dass du M$ kein Geld in den Rachen werfen willst, aber nach dieser Argumentation könnte man ja auch bei Win98 bleiben, das OS sollte ja so gerade auch noch so reichen  Es ist auch nicht verboten seine Fühler mal woanders hin auszustrecken, es gibt genug andere Mailclients, Outlook ist der einzige Mailclient! Schau dir mal Mozilla Thunderbird an
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
14.07.2012, 17:02
| #5 |
| | EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent Ich bin mir jetzt nicht ganz sicher ob der wing commander nicht schon unter DOS 4.0 lief ;-) und ich kenne eine Tankstelle da werden die Rechnungen immer noch mit Word 4.0 und einem Nadeldrucker geschrieben. Musste der Bekannten nur bei der Jahr 2000-Umstellung helfen und bei der EUR-Umstellung die Formeln und Formatierungen anpassen. Eine weitere Bekannte arbeitet immer noch mit F&A (Frage und Antwort). Das funktioniert super. Ich war ein überzeugter User von OS/2 von IBM. Wieso muss man den ganzen Konsumwahn mitmachen wenn es für die Funktionalität nicht erforderlich ist ? aber Spass beiseite - natürlich kenne ich die Problematik der Sicherheitslücken und der nicht mehr folgenden Updates. Ich hatte jetzt schon Jahre kein Problem mehr mit Viren. Den Virus habe ich mir aber mit Mozilla Firefox eingefangen - der ist immer am aktuellen Stand l - und ich weiss auch ziemlich genau wann und wo. Danke für Deine Hilfe ;-)  |
|
14.07.2012, 20:56
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.AgentCode:
ATTFilter O:\Windows_XP_Professional_by_Unknown\KeyGen.exe (Malware.Tool)
 Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ --> EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent |
|
| Themen zu EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent |
| 7-zip, antivirus, any video converter, avira, bho, browser, canon, diagnostics, ebay, error, firefox, flash player, google earth, helper, iexplore.exe, intranet, logfile, mp3, object, plug-in, progressive, realtek, registry, scan, searchscopes, security, senden, server, software, starten, super, system, trojaner, windows, windows internet, wuauclt.exe, zip-datei, ändern |
Linear-Darstellung
