| |
| |||||||
Log-Analyse und Auswertung: Security Shield - System infiziert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.07.2012, 15:53
| #1 |
 |  Security Shield - System infiziert? Hallo, ich weiß, dass schon viel über den "Security Shield" geschrieben worden ist, aber ich weiß nicht, ob jemand schon mal exakt dasselbe Problem hatte. Heute beim Surfen (mit Firefox 13.0.1) ist plötzlich ein Fenster aufgegangen, das den Titel "Security Shield" hatte und vom Aussehen her an das Windows-Sicherheitscenter oder "Microsoft Security Essentials" erinnerte (sah so ähnlich aus wie hier: http://www.trojaner-board.de/89160-m...entfernen.html). Da sich das Fenster nicht normal schließen ließ, habe ich es über den Taskmanager beendet. Im Systray hatte ich auch ein Symbol, das wie ein Schutzschild aussah, das ist dann aber auch weggegangen. Ich habe mir danach mehrere Websites zum Thema angesehen. Im Gegensatz zu den Schilderungen auf den anderen Websites hatte ich aber weder Probleme, eine Internetverbindung aufzubauen (ich kann ganz normal surfen, auch kein Proxy-Eintrag in den IE-Einstellungen), noch habe ich "verdächtige" Hintergrundprozesse, alles sieht eigentlich so wie immer aus, Sicherheitscenter meldet Firewall als aktiv. Gibt es noch irgendwelche Möglichkeiten, wie sich der Virus verstecken könnte? Existieren vielleicht Varianten dieser Scareware, die mit Java laufen? Ich poste mal mein HijackThis-Logfile für alle Fälle: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:49:00, on 15.07.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\CyberLink\Power2Go\CLMLSvc.exe C:\Programme\Cyberlink\Shared Files\brs.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\phonostar-Player\phonostarTimer.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware View\Client\bin\wsnm.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\notepad.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\NotMyName\Eigene Dateien\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dsl-start.computerbild.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von COMPUTER BILD O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Programme\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.0" O4 - HKLM\..\Run: [CLMLServer] "C:\Programme\CyberLink\Power2Go\CLMLSvc.exe" O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Programme\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0" O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Programme\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\PowerProducer" update "Software\CyberLink\PowerProducer\5.0" O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Programme\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\Blu-ray Disc Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter" O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [D-Link AirPlus G DWL-G510] C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [phonostarTimer] C:\Programme\phonostar-Player\phonostarTimer.exe O4 - HKCU\..\Run: [Sony PC Companion] "C:\Programme\Sony\Sony PC Companion\PCCompanion.exe" /Background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\NotMyName\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony PC Companion - Avanquest Software - C:\Programme\Sony\Sony PC Companion\PCCService.exe O23 - Service: VMware View Client Service (wsnm) - VMware, Inc. - C:\Programme\VMware\VMware View\Client\bin\wsnm.exe -- End of file - 10247 bytes Nicomedian |
|
16.07.2012, 13:03
| #2 |
| | Security Shield - System infiziert? Hi there!
__________________Sorry, dass ich gestern die HijackThis-Logfile gepostet habe. Ich habe jetzt eure Anweisungen befolgt und mein System mit den angegebenen Tools gecheckt. Die Logs sind als Zip-File im Anhang. Könnt ihr mir jetzt helfen? Wie gesagt, dem Anschein nach ist keine Infektion erkennbar. Vielen Dank, Nicomedian |
|
17.07.2012, 08:36
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Security Shield - System infiziert? Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
|
17.07.2012, 20:33
| #4 |
| | Security Shield - System infiziert? Hallo, danke für die Antwort. Hier ist der Inhalt der mbam-log-2012-07-17 (16-21-40).txt: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.17.07 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 M**s :: ATHLON_X4_630 [Administrator] 17.07.2012 11:17:55 mbam-log-2012-07-17 (16-21-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|L:\|M:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 586457 Laufzeit: 2 Stunde(n), 55 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader_fuer_royale-theme-for-win-xp(1).exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader_fuer_royale-theme-for-win-xp.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe (Trojan.Lameshield) -> Keine Aktion durchgeführt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d61e7d6fbf0d6d4abe5057cd62df928e
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-17 02:29:58
# local_time=2012-07-17 04:29:58 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 14665291 14665291 0 0
# compatibility_mode=8192 67108863 100 0 214 214 0 0
# scanned=1227
# found=0
# cleaned=0
# scan_time=14
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d61e7d6fbf0d6d4abe5057cd62df928e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-17 07:14:43
# local_time=2012-07-17 09:14:43 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777191 100 0 14665328 14665328 0 0
# compatibility_mode=8192 67108863 100 0 251 251 0 0
# scanned=380660
# found=4
# cleaned=0
# scan_time=17059
C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader_fuer_royale-theme-for-win-xp(1).exe Win32/SoftonicDownloader application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader_fuer_royale-theme-for-win-xp.exe Win32/SoftonicDownloader application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe a variant of Win32/Kryptik.AIJZ trojan (unable to clean) 00000000000000000000000000000000 I
L:\Backup\Downloads\ps_radio2012.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
Code:
ATTFilter Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Temp\jar_cache7171570183039623872.tmp'
C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Temp\jar_cache7171570183039623872.tmp
[0] Archivtyp: ZIP
--> aas.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Temp\jar_cache7171570183039623872.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE.2010.0842.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53c58b2d.qua' verschoben!
Ende des Suchlaufs: Dienstag, 17. Juli 2012 11:24
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
61 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
59 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Bis dann, Nicomedian P.S. Sollte die Internet-Verbindung während des ESET-Scans bestehen bleiben? Der Scan dauerte insgesamt mehr als vier Stunden und ich hatte ja Avira deaktiviert. |
|
18.07.2012, 16:00
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert?Code:
ATTFilter C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader_fuer_royale-theme-for-win-xp(1).ex
 Finger weg von Softonic!!  Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
18.07.2012, 17:04
| #6 | |
| | Security Shield - System infiziert? Hallo, gestern Abend hat mir Avira einen Virenfund (TR/Kryptik.jfx.29) in der "C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe" gemeldet. Die Datei habe ich dann in Quarantäne von Avira verschoben. Hier ist der Inhalt der AdwCleaner[R1].txt: Code:
ATTFilter # AdwCleaner v1.702 - Logfile created 07/18/2012 at 17:59:49
# Updated 13/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : M**s - ATHLON_X4_630
# Running from : C:\Dokumente und Einstellungen\M**s\Desktop\adwcleaner.exe
# Option [Search]
***** [Services] *****
***** [Files / Folders] *****
File Found : C:\DOKUME~1\M**s\LOKALE~1\Temp\Uninstall.exe
***** [Registry] *****
Key Found : HKCU\Software\Softonic
***** [Registre - GUID] *****
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R1].txt - [824 octets] - [18/07/2012 17:59:49]
########## EOF - C:\AdwCleaner[R1].txt - [951 octets] ##########
Zitat:
Bis dann, Nicomedian Geändert von Nicomedian (18.07.2012 um 17:10 Uhr) Grund: Info vergessen |
|
19.07.2012, 09:21
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert? adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.07.2012, 13:35
| #8 |
| | Security Shield - System infiziert? Hallo, ich habe AdwCleaner jetzt ausgeführt und dabel folgende Logfile erhalten: AdwCleaner[S1].txt: Code:
ATTFilter # AdwCleaner v1.702 - Logfile created 07/19/2012 at 14:19:14
# Updated 13/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : M**s - ATHLON_X4_630
# Running from : C:\Dokumente und Einstellungen\M**s\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
File Deleted : C:\DOKUME~1\M**s\LOKALE~1\Temp\Uninstall.exe
***** [Registry] *****
Key Deleted : HKCU\Software\Softonic
***** [Registre - GUID] *****
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R1].txt - [951 octets] - [18/07/2012 17:59:49]
AdwCleaner[S1].txt - [891 octets] - [19/07/2012 14:19:14]
########## EOF - C:\AdwCleaner[S1].txt - [1018 octets] ##########
Kannst du schon irgendwas dazu sagen, wie gefährlich dieser Security Shield jetzt eigentlich ist? Muss ich mir Sorgen um meine Daten machen oder handelt es sich dabei eher um eine "normale" Scareware, die den User dazu bringen soll, für eine angebliche Desinfizierung des Rechners zu bezahlen, sonst aber keine weiteren Auswirkungen hat? Ist die Tatsache, dass die infizierte Datei "etwqgnrfo.exe" nicht bei den aktiven Prozessen auftaucht und auch sonst bei den aktiven Prozessen nichts gefunden wurden, irgendwie positiv zu bewerten? Bis dann und alles Gute, Nicomedian @cosinus: Gerade ist beim Surfen der Bildschirm schwarz geworden und auf dem Monitor kam nur die Meldung "No signal". Ich misstraue dem Rechner immer mehr. Allerdings hab ich noch eine Parallelinstallation von Windows 7 auf dem Rechner. Kann ich die ohne Probleme benutzen, auch wenn ich unter XP den Security Shield hatte? Was soll kich jetzt machen? Gibt es eine realistische Chance, den Rechner mit vertretbarem Aufwand wieder clean zu kriegen oder sollte ich das System besser neu aufsetzen? Vielen Dank, Nicomedian P.S. Danke für deine Hilfe. |
|
19.07.2012, 19:31
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert? Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.07.2012, 09:40
| #10 |
| | Security Shield - System infiziert? Zu 1) Der normale Windows-Modus funktioniert eigentlich problemlos, außer dem genannten Problem, das gestern aufgetreten ist (kann aber auch ein Treiber-Problem sein). Außerdem hat sich das System in den letzten Tagen mind. einmal mit Bluescreen (allerdings nach langer Uptime) aufgehängt, Fehlercode kann ich spontan aber in der Ereignisanzeige nicht finden. Zu 2) Im Startmenü ist alles vorhanden. Allerdings habe ich versucht, Java manuell (über das Symbol in der Systemsteuerung) zu aktualisieren, und es funktioniert nicht. @cosinus: Kriege ich das System - wenn es wirklich infiziert ist - noch mal richtig sauber, oder sollte ich das besser neu aufsetzen? Bis dann, Nicomedian |
|
20.07.2012, 16:02
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert? Ja das kriegen wir schon hin Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.07.2012, 10:08
| #12 |
| |  Security Shield - System infiziert? Hallo, hier ist das neue OTL-Logfile: OTL.Txt: Code:
ATTFilter OTL logfile created on: 21.07.2012 10:50:40 - Run 6 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\M**s\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,63 Gb Available Physical Memory | 80,84% Memory free 5,09 Gb Paging File | 4,58 Gb Available in Paging File | 90,10% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 75,13 Gb Total Space | 4,60 Gb Free Space | 6,12% Space Free | Partition Type: NTFS Drive F: | 156,25 Gb Total Space | 38,72 Gb Free Space | 24,78% Space Free | Partition Type: NTFS Drive G: | 3,74 Gb Total Space | 1,71 Gb Free Space | 45,66% Space Free | Partition Type: FAT32 Drive L: | 298,02 Gb Total Space | 201,31 Gb Free Space | 67,55% Space Free | Partition Type: FAT32 Drive M: | 3,74 Gb Total Space | 0,23 Gb Free Space | 6,15% Space Free | Partition Type: FAT32 Computer Name: ATHLON_X4_630 | User Name: M**s | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.21 10:48:36 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M**s\Desktop\OTL.exe PRC - [2012.05.31 15:00:22 | 000,445,624 | ---- | M] (Sony) -- C:\Programme\Sony\Sony PC Companion\PCCompanion.exe PRC - [2012.05.08 09:59:35 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.08 09:59:34 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.08 09:59:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.08 09:59:34 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.04.30 11:57:42 | 000,067,072 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe PRC - [2012.01.18 15:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe PRC - [2011.02.10 13:16:44 | 000,040,960 | ---- | M] () -- C:\Programme\phonostar-Player\phonostarTimer.exe PRC - [2010.07.06 17:24:36 | 002,151,800 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe PRC - [2010.07.06 17:24:36 | 000,636,256 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe PRC - [2010.02.02 01:15:48 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2010.02.02 01:15:46 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2009.09.04 14:16:16 | 000,075,048 | ---- | M] (cyberlink) -- C:\Programme\CyberLink\Shared files\brs.exe PRC - [2009.08.26 17:07:00 | 000,151,552 | ---- | M] (VMware, Inc.) -- C:\Programme\VMware\VMware View\Client\bin\wsnm.exe PRC - [2008.07.30 11:47:24 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe PRC - [2008.07.18 20:52:16 | 000,104,936 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\Power2Go\CLMLSvc.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.10.24 15:30:52 | 001,552,384 | ---- | M] (D-Link) -- C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe PRC - [2007.01.19 12:49:04 | 000,049,152 | ---- | M] (Wireless Service) -- C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe PRC - [2006.01.30 18:00:00 | 000,098,304 | R--- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe PRC - [2004.06.16 07:03:04 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe ========== Modules (No Company Name) ========== MOD - [2012.05.24 11:50:32 | 000,203,776 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\MExplorer.dll MOD - [2012.05.08 09:59:35 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2012.04.30 11:57:42 | 000,067,072 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe MOD - [2012.04.30 11:57:42 | 000,039,936 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\TMonitorAPI.dll MOD - [2011.02.10 13:16:44 | 000,040,960 | ---- | M] () -- C:\Programme\phonostar-Player\phonostarTimer.exe MOD - [2011.01.19 22:36:58 | 002,283,008 | ---- | M] () -- C:\Programme\phonostar-Player\QtCore4.dll MOD - [2010.11.03 06:59:58 | 000,416,256 | ---- | M] () -- C:\Programme\phonostar-Player\plugins\sqldrivers\qsqlite4.dll MOD - [2010.11.03 04:14:44 | 008,166,912 | ---- | M] () -- C:\Programme\phonostar-Player\QtGui4.dll MOD - [2010.11.03 04:00:42 | 000,190,464 | ---- | M] () -- C:\Programme\phonostar-Player\QtSql4.dll MOD - [2010.07.06 17:24:48 | 002,860,384 | ---- | M] () -- C:\WINDOWS\system32\btwicons.dll MOD - [2010.07.06 17:24:46 | 000,075,112 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll MOD - [2010.02.28 16:55:33 | 000,970,752 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2008.08.27 17:32:36 | 000,619,816 | ---- | M] () -- C:\Programme\CyberLink\Power2Go\CLMediaLibrary.dll MOD - [2008.06.09 10:55:08 | 000,013,096 | ---- | M] () -- C:\Programme\CyberLink\Power2Go\CLMLSvcPS.dll MOD - [2005.12.09 10:11:06 | 000,136,704 | ---- | M] () -- C:\Programme\7-Zip\7-zip.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2012.07.18 17:57:31 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.08 09:59:35 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.08 09:59:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.01.18 14:38:28 | 000,155,320 | ---- | M] (Avanquest Software) [On_Demand | Stopped] -- C:\Programme\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion) SRV - [2009.08.26 17:07:00 | 000,151,552 | ---- | M] (VMware, Inc.) [Auto | Running] -- C:\Programme\VMware\VMware View\Client\bin\wsnm.exe -- (wsnm) SRV - [2008.07.30 11:47:24 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService) SRV - [2007.01.19 12:49:26 | 000,049,152 | ---- | M] (Wireless Service) [Auto | Stopped] -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe -- (ANIWZCSdService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.05.08 09:59:35 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.08 09:59:35 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.02.29 19:11:53 | 000,025,512 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ggsemc.sys -- (ggsemc) DRV - [2012.02.29 19:11:53 | 000,013,224 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ggflt.sys -- (ggflt) DRV - [2011.12.15 16:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.06.24 15:46:36 | 000,154,416 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxDrv.sys -- (VBoxDrv) DRV - [2011.06.24 15:46:36 | 000,101,680 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp) DRV - [2011.06.24 15:46:36 | 000,034,608 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxUSB.sys -- (VBoxUSB) DRV - [2011.06.24 15:46:36 | 000,033,072 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxUSBMon.sys -- (VBoxUSBMon) DRV - [2010.07.01 15:46:02 | 000,051,752 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2010.06.18 10:56:32 | 000,929,960 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.01.14 08:53:18 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver) DRV - [2009.12.08 21:24:26 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\VSPerfDrv100.sys -- (VSPerfDrv100) DRV - [2009.11.18 09:13:04 | 000,556,200 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio) DRV - [2009.11.18 09:12:56 | 000,118,440 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS) DRV - [2009.11.18 09:12:54 | 000,059,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid) DRV - [2009.09.04 14:16:14 | 000,087,536 | ---- | M] (CyberLink Corp.) [2010/02/28 15:12:08] [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD\000.fcl -- ({95808DC4-FA4A-4C74-92FE-5B863F82066B}) DRV - [2009.07.13 16:51:12 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB) DRV - [2009.02.17 10:55:54 | 005,026,816 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.10.20 19:23:22 | 000,154,368 | ---- | M] (CyberLink Corporation.) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\CLBUDFR.sys -- (CLBUDFR) DRV - [2008.10.20 19:23:22 | 000,010,368 | ---- | M] (Cyberlink Co.,Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\CLBStor.sys -- (CLBStor) DRV - [2008.09.25 15:51:42 | 000,115,328 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008.08.05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008.04.14 01:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE) DRV - [2007.05.12 15:49:54 | 000,380,928 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt61.sys -- (RT61) DRV - [2007.04.16 17:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM) DRV - [2006.01.04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2005.12.11 12:55:38 | 000,028,195 | ---- | M] (Alpha Networks Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\ANIO.sys -- (ANIO) DRV - [2005.05.31 23:43:18 | 000,296,259 | R--- | M] (Hauppauge Computer Works, Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hcw88tse.sys -- (HCW88TSE) DRV - [2005.05.31 20:34:48 | 000,011,841 | R--- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hcw88rc5.sys -- (hcw88rc5) DRV - [2005.05.31 20:34:40 | 000,130,112 | R--- | M] (Hauppauge Computer Works, Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hcw88bda.sys -- (HCW88BDA) DRV - [2005.05.31 20:34:38 | 000,011,970 | R--- | M] (Hauppauge Computer Works, Inc) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\hcw88aud.sys -- (HCW88AUD) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dsl-start.computerbild.de/ IE - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [Binary data over 100 bytes] IE - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00: C:\Programme\Sony\PLAYSTATION Network Downloader\nppsndl.dll (Sony Computer Entertainment Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@SonyCreativeSoftware.com/Media Go,version=1.0: C:\Programme\Sony\Media Go\npmediago.dll (Sony Network Entertainment International LLC) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.18 17:57:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.28 10:15:31 | 000,000,000 | ---D | M] [2010.02.28 16:33:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mozilla\Extensions [2012.07.05 11:31:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mozilla\Firefox\Profiles\098qo1to.default\extensions [2011.05.29 18:27:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mozilla\Firefox\Profiles\098qo1to.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.03.18 12:17:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.03.07 20:04:04 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.07.18 17:57:32 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.03.07 20:04:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.02.14 13:50:30 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.02.14 13:50:30 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.02.14 13:50:30 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.02.14 13:50:30 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.02.14 13:50:30 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.02.14 13:50:30 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Wireless Service) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared files\brs.exe (cyberlink) O4 - HKLM..\Run: [CLMLServer] C:\Programme\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [D-Link AirPlus G DWL-G510] C:\Programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe (D-Link) O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] nwiz.exe /installquiet File not found O4 - HKLM..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe (Hewlett-Packard) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [UpdateLBPShortCut] C:\Programme\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Programme\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePPShortCut] C:\Programme\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Programme\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKU\S-1-5-21-1614895754-790525478-1801674531-1004..\Run: [phonostarTimer] C:\Programme\phonostar-Player\phonostarTimer.exe () O4 - HKU\S-1-5-21-1614895754-790525478-1801674531-1004..\Run: [Sony PC Companion] C:\Programme\Sony\Sony PC Companion\PCCompanion.exe (Sony) O4 - HKLM..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) O4 - Startup: C:\Dokumente und Einstellungen\M**s\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Plugin Control) O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{78E280AF-BAB0-48A9-B073-2FD207AD6237}: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.28 19:43:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - F:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2009.09.04 19:08:14 | 000,000,183 | ---- | M] () - L:\autorun.inf -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found SafeBootMin: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - Microsoft NetShow Player ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - DOTNETFRAMEWORKS ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{6F1A8016-065F-4C94-B87B-83776247315C} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.l3codec - C:\WINDOWS\system32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.l3codecp - C:\WINDOWS\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.lameacm - C:\WINDOWS\System32\LameACM.acm (hxxp://www.mp3dev.org/) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivXNetworks, Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.XVID - C:\WINDOWS\System32\xvidvfw.dll () CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.07.21 10:46:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M**s\Startmenü\Programme\CyberLink PowerDVD [2012.07.17 16:26:14 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2012.07.17 11:16:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Malwarebytes [2012.07.17 11:15:43 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.17 11:15:43 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.07.17 11:15:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.17 11:15:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.07.17 11:13:58 | 010,652,120 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\M**s\Desktop\mbam-setup-1.62.0.1300.exe [2012.07.15 21:04:54 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M**s\Desktop\OTL.exe [2012.07.15 15:59:09 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\OTL.exe [2012.07.14 16:03:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson [2012.07.14 16:03:11 | 000,000,000 | ---D | C] -- C:\Programme\Sony Ericsson [2012.06.27 13:51:03 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\Dokumente und Einstellungen\M**s\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\M**s\Eigene Dateien\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.21 10:48:36 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M**s\Desktop\OTL.exe [2012.07.21 10:46:50 | 000,000,007 | ---- | M] () -- C:\WINDOWS\System32\ANIWZCSUSERNAME{C5E0E2AE-1C5D-4827-9056-F52E32044EC5} [2012.07.21 10:46:45 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2012.07.21 10:46:36 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.21 10:46:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.18 17:59:25 | 000,624,883 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Desktop\adwcleaner.exe [2012.07.17 11:15:43 | 000,000,766 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.17 11:14:27 | 010,652,120 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\M**s\Desktop\mbam-setup-1.62.0.1300.exe [2012.07.16 13:59:30 | 000,076,218 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Logfiles.zip [2012.07.16 10:06:58 | 000,000,007 | ---- | M] () -- C:\WINDOWS\System32\ANIWZCSUSERNAME [2012.07.15 21:14:52 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\defogger_reenable [2012.07.15 21:07:16 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Desktop\px9mfhb4.exe [2012.07.15 21:03:25 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Defogger.exe [2012.07.15 15:59:11 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\OTL.exe [2012.07.14 16:01:04 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_WinUSB_01009.Wdf [2012.07.14 16:00:53 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf [2012.07.14 16:00:52 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.07.12 15:46:06 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.07.12 11:54:54 | 000,010,207 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Programm.cpp [2012.07.11 21:04:27 | 000,127,704 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.11 12:54:18 | 000,015,227 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\.recently-used.xbel [2012.07.04 12:21:20 | 000,300,627 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\01370343.pdf [2012.07.03 17:28:41 | 000,001,713 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony PC Companion 2.1.lnk [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.03 10:31:13 | 000,020,716 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Anti-Einleitung.odt [2012.07.03 10:28:01 | 000,028,674 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Extremismus in Europa-neu.odt [2012.07.02 18:02:10 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.06.24 16:29:40 | 000,277,119 | ---- | M] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\brox_wic01.pdf [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\Dokumente und Einstellungen\M**s\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\M**s\Eigene Dateien\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.18 17:59:21 | 000,624,883 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Desktop\adwcleaner.exe [2012.07.17 11:15:43 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.16 13:59:30 | 000,076,218 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Logfiles.zip [2012.07.15 21:14:52 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\defogger_reenable [2012.07.15 21:07:15 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Desktop\px9mfhb4.exe [2012.07.15 21:03:25 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Defogger.exe [2012.07.14 16:01:04 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_WinUSB_01009.Wdf [2012.07.14 16:00:53 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf [2012.07.12 11:52:49 | 000,010,207 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Desktop\Programm.cpp [2012.07.11 12:54:18 | 000,015,227 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\.recently-used.xbel [2012.07.04 12:21:20 | 000,300,627 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\01370343.pdf [2012.07.03 10:26:11 | 000,028,674 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Essay-neu.odt [2012.06.24 16:29:40 | 000,277,119 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Eigene Dateien\brox_wic01.pdf [2012.06.18 18:54:34 | 000,075,928 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2012.03.22 10:41:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\JJAKEn.dll [2012.03.22 10:40:19 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\rt2661.bin [2012.03.22 10:40:19 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\rt2561s.bin [2012.03.22 10:40:19 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\rt2561.bin [2012.02.15 12:49:02 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.05.30 20:45:50 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2011.05.29 11:41:43 | 000,000,281 | ---- | C] () -- C:\WINDOWS\irremote.ini [2011.05.19 22:35:11 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2011.05.19 22:35:11 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2011.05.19 22:10:46 | 000,010,856 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2011.05.16 23:23:53 | 000,942,113 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1614895754-790525478-1801674531-1004-0.dat [2011.05.16 23:23:52 | 000,131,178 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2010.02.28 17:15:17 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== LOP Check ========== [2011.06.27 17:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PreEmptive Solutions [2012.03.09 11:52:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony [2010.02.28 16:05:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp [2012.04.23 18:22:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Amazon [2011.05.29 18:33:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\avidemux [2011.05.19 22:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\CDZilla [2011.05.29 18:36:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Cuttermaran [2011.05.28 13:37:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\DVDVideoSoftIEHelpers [2012.07.11 12:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\gtk-2.0 [2010.03.06 13:46:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\JavaEditor [2012.03.19 15:23:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mp3tag [2011.05.16 16:49:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Notepad++ [2010.03.03 20:11:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\OpenOffice.org [2011.05.30 17:50:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\phonostar GmbH [2012.03.01 13:54:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Sony [2012.02.22 19:09:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\SWI-Prolog [2011.05.30 21:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Tobit [2010.03.08 16:41:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\XnView [2012.03.01 14:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\xpce ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2012.05.09 16:52:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Adobe [2012.04.23 18:22:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Amazon [2011.05.29 18:33:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\avidemux [2012.01.29 23:53:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Avira [2011.05.19 22:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\CDZilla [2011.05.29 18:36:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Cuttermaran [2010.03.22 12:00:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\CyberLink [2011.05.28 13:37:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\DVDVideoSoftIEHelpers [2012.07.11 12:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\gtk-2.0 [2012.04.14 10:31:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\HP [2010.02.28 19:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Identities [2010.03.01 14:06:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\InstallShield [2010.03.06 13:46:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\JavaEditor [2010.02.28 16:17:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Macromedia [2012.07.17 11:16:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Malwarebytes [2010.03.31 14:15:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Media Player Classic [2011.08.24 17:30:33 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Microsoft [2011.07.03 16:20:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Microsoft Corporation [2011.08.03 17:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\mIRC [2010.02.28 16:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mozilla [2012.03.19 15:23:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Mp3tag [2011.05.16 16:49:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Notepad++ [2010.03.03 20:11:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\OpenOffice.org [2011.05.30 17:50:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\phonostar GmbH [2010.03.03 10:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Real [2012.03.01 13:54:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Sony [2010.03.06 13:42:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Sun [2012.02.22 19:09:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\SWI-Prolog [2011.05.30 21:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\Tobit [2010.03.08 16:41:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\XnView [2012.03.01 14:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M**s\Anwendungsdaten\xpce < %APPDATA%\*.exe /s > < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll < MD5 for: NVGTS.SYS > [2010.04.09 02:30:10 | 000,168,040 | ---- | M] (NVIDIA Corporation) MD5=52DCE3B30C9D61C8E20FE3C6DA4BDFB7 -- C:\NVIDIA\nForceWinXPInt\15.56\IDE\WinXP\sata_ide\nvgts.sys [2010.04.09 02:30:28 | 000,168,040 | ---- | M] (NVIDIA Corporation) MD5=87096913DFB9129144E1038AADFF17EE -- C:\NVIDIA\nForceWinXPInt\15.56\IDE\WinXP\sataraid\nvgts.sys < MD5 for: SCECLI.DLL > [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll [2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2012.07.03 13:46:42 | 000,217,672 | ---- | M] () MD5=8A7F34F0BBD076EC3815680A7309114F -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.02.28 20:29:18 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2010.02.28 20:29:18 | 001,069,056 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2010.02.28 20:29:18 | 000,462,848 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [6 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < > < End of report > Schönes Wochenende und alles Gute, Nicomedian |
|
23.07.2012, 12:05
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert? Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
FF - user.js - File not found
O4 - HKLM..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1614895754-790525478-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.28 19:43:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - F:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.09.04 19:08:14 | 000,000,183 | ---- | M] () - L:\autorun.inf -- [ FAT32 ]
:Files
C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader*
C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.07.2012, 19:14
| #14 |
| | Security Shield - System infiziert? Hi there! Habe den Fix jetzt ausgeführt und hier ist das Logfile: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\SchedulingAgent deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-790525478-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
F:\autoexec.bat moved successfully.
L:\autorun.inf moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\M**s\Eigene Dateien\Downloads\SoftonicDownloader* not found.
C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 12379465 bytes
User: M**s
->Temp folder emptied: 792284325 bytes
->Temporary Internet Files folder emptied: 34193258 bytes
->Java cache emptied: 787642 bytes
->FireFox cache emptied: 91390459 bytes
->Flash cache emptied: 46678 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 17939908 bytes
%systemroot%\System32 .tmp files removed: 21949831 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 742505060 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1.634,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: LocalService
User: M**s
->Flash cache emptied: 0 bytes
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.54.0 log created on 07242012_200152
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\BtwEventTrace_5_6_0_5300.etl scheduled to be moved on reboot.
PendingFileRenameOperations files...
[2012.07.24 20:03:50 | 000,008,192 | ---- | M] () C:\WINDOWS\temp\BtwEventTrace_5_6_0_5300.etl : Unable to obtain MD5
Registry entries deleted on Reboot...
Eine Frage habe ich noch: Es wurde von Avira ja auch mal der "EXP/CVE.2010.0842.N" in der Datei "C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Temp\jar_cache7171570183039623872.tmp" gefunden. Für mich sieht das so aus wie eine Cache-Datei von Java. Die Datei habe ich dann in die Quarantäne von Avira verschoben, wo sie immer noch liegt. Soll ich die Datei einfach aus der Quarantäne löschen oder müssen wir noch etwas Anderes checken? Wenn nicht, war das alles? Bis dann und alles Gute, Nicomedian P.S. Vielen Dank für deine Hilfe! |
|
24.07.2012, 21:05
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Security Shield - System infiziert? Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Security Shield - System infiziert? |
| adobe, antivir, avg, avira, bho, converter, desktop, explorer, firefox, firewall, hijack, hkus\s-1-5-18, infektion, infiziert?, internet explorer, mozilla, mp3, nvidia, opera, plug-in, problem, rundll, scareware, security, security shield, senden, software, system, taskmanager, virus, windows internet, windows security alerts, windows xp |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Linear-Darstellung
