| |
| |||||||
Log-Analyse und Auswertung: C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.07.2012, 11:52
| #1 | |
 |  C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) Hallo zusammen Meine Freundin hat sich auf Ihrem Computer etwas eingefangen. MBAM sagt: C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt. Aber zur Sicherheit habe ich jetzt mal nach der Anleitung die logs erstellt: Danke im Voraus Rest im Anhang Zitat:
|
|
18.07.2012, 16:20
| #2 |
| /// Malware-holic   | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) hi stelle die datei mal an ihren ursprungsort wieder her, malwarebytes öffnen, quarantäne.
__________________dann lad sie mal hoch. Trojaner-Board Upload Channel wenn fertig, melden bitte
__________________ |
|
18.07.2012, 16:36
| #3 |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) Meine Freundin hat leider nachdem MBAM durchgelaufen war und die Datei in Quarantäne verschoben hatte, CCleaner durchlaufen lassen.
__________________Das hat dann anscheinend alle Logs und die Quarantäne gelöscht. Nur die eine Log, die ich mit hochgeladen habe, hat sie kopiert. |
|
20.07.2012, 20:37
| #4 |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) wieso fragt man eig nach hilfe und macht dann doch, was einem passt, woher sollen wir dann wissen ob die datei gefärhlich war? Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
05.08.2012, 10:25
| #5 | |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)Zitat:
 Code:
ATTFilter OTL logfile created on: 05.08.2012 11:06:36 - Run 2 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\Aehny\Desktop\Tools Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,64% Memory free 3,85 Gb Paging File | 3,28 Gb Available in Paging File | 85,40% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 31,25 Gb Total Space | 3,85 Gb Free Space | 12,31% Space Free | Partition Type: NTFS Drive D: | 97,66 Gb Total Space | 22,95 Gb Free Space | 23,50% Space Free | Partition Type: NTFS Drive E: | 20,13 Gb Total Space | 2,20 Gb Free Space | 10,93% Space Free | Partition Type: NTFS Computer Name: BIE | User Name: Aehny | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.18 17:47:10 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2012.07.18 10:56:18 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Aehny\Desktop\Tools\OTL.exe PRC - [2012.07.05 18:41:46 | 003,048,136 | ---- | M] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe PRC - [2012.05.10 17:52:08 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.10 17:52:07 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.10 17:52:07 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.10 17:52:07 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2011.10.24 22:32:00 | 000,055,144 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2011.03.24 00:35:05 | 000,519,632 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe PRC - [2011.03.24 00:34:18 | 000,435,152 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe PRC - [2008.04.14 12:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe PRC - [2007.10.08 15:18:04 | 000,995,328 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe PRC - [2007.10.08 15:15:50 | 000,356,352 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe PRC - [2007.10.08 15:13:36 | 001,101,824 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe PRC - [2007.10.08 15:09:26 | 000,659,456 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe PRC - [2007.05.10 02:01:00 | 000,036,864 | ---- | M] (Creative Technology Ltd.) -- C:\WINXP\OEM02Mon.exe ========== Modules (No Company Name) ========== MOD - [2012.07.18 17:47:09 | 002,003,424 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll MOD - [2012.05.10 17:52:08 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.09.27 08:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 08:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2011.03.17 00:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF MOD - [2009.02.27 17:41:25 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2008.01.11 07:17:30 | 000,022,723 | ---- | M] () -- C:\WINXP\system32\ssp2ml3.dll MOD - [2007.10.08 15:03:22 | 000,245,760 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\iWMSProv.dll MOD - [2007.05.17 15:42:26 | 001,167,360 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\acAuth.dll ========== Win32 Services (SafeList) ========== SRV - [2012.08.05 11:00:30 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.07.18 17:47:10 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.07.05 18:41:46 | 003,048,136 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012.06.07 19:12:14 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.05.10 17:52:08 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.10 17:52:07 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.10.24 22:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2011.06.12 11:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service) SRV - [2011.04.20 22:23:23 | 000,008,192 | ---- | M] () [Auto | Stopped] -- C:\WINXP\system32\srvany.exe -- (KMService) SRV - [2011.03.24 00:34:18 | 000,435,152 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe -- (vpnagent) SRV - [2010.04.20 08:47:38 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc) SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2007.10.08 15:15:50 | 000,356,352 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe -- (WLANKEEPER) Intel(R) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINXP\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.05.10 17:52:08 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.10 17:52:08 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.12.15 16:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.03.24 00:25:38 | 000,019,680 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\vpnva.sys -- (vpnva) DRV - [2011.03.24 00:25:14 | 000,046,480 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\acsmux.sys -- (acsmux) DRV - [2011.03.24 00:25:14 | 000,036,624 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\acsint.sys -- (acsint) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.01.09 20:29:47 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINXP\system32\drivers\sptd.sys -- (sptd) DRV - [2009.07.16 11:20:26 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\tap0901.sys -- (tap0901) DRV - [2009.06.09 05:18:24 | 000,038,400 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto | Stopped] -- C:\WINXP\system32\drivers\DGIVECP.SYS -- (DgiVecp) DRV - [2009.03.25 17:48:00 | 000,114,728 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018mdm.sys -- (s1018mdm) DRV - [2009.03.25 17:48:00 | 000,109,864 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) DRV - [2009.03.25 17:48:00 | 000,106,208 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) DRV - [2009.03.25 17:48:00 | 000,104,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018obex.sys -- (s1018obex) DRV - [2009.03.25 17:48:00 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM) DRV - [2009.03.25 17:48:00 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) DRV - [2009.03.25 17:48:00 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\s1018mdfl.sys -- (s1018mdfl) DRV - [2007.10.11 02:03:00 | 000,235,648 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\OEM02Dev.sys -- (OEM02Dev) DRV - [2007.09.26 07:01:32 | 002,236,032 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\NETw4x32.sys -- (NETw4x32) Intel(R) DRV - [2007.08.27 12:10:36 | 000,012,288 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\s24trans.sys -- (s24trans) DRV - [2007.08.02 18:35:12 | 000,989,952 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\HSF_DPV.sys -- (HSF_DPV) DRV - [2007.08.02 18:34:30 | 000,211,200 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL) DRV - [2007.08.02 18:34:26 | 000,731,136 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2007.06.08 02:00:02 | 000,141,376 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\OEM02Afx.sys -- (OEM02Afx) DRV - [2007.05.10 11:24:34 | 001,222,840 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\sthda.sys -- (STHDA) DRV - [2007.03.31 14:02:42 | 000,876,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btkrnl.sys -- (BTKRNL) DRV - [2007.03.31 14:02:40 | 000,055,352 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btwhid.sys -- (btwhid) DRV - [2007.03.23 11:50:42 | 000,067,960 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2007.03.23 11:50:36 | 000,037,280 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btwmodem.sys -- (btwmodem) DRV - [2007.03.23 11:50:24 | 000,149,123 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btwdndis.sys -- (BTWDNDIS) DRV - [2007.03.23 11:50:08 | 000,037,424 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btport.sys -- (BTDriver) DRV - [2007.03.23 11:49:54 | 000,539,072 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\btaudio.sys -- (btaudio) DRV - [2007.03.05 19:45:04 | 000,007,424 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\OEM02Vfx.sys -- (OEM02Vfx) DRV - [2006.11.21 05:25:44 | 000,045,568 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) DRV - [2006.11.15 01:16:24 | 000,032,256 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\rimmptsk.sys -- (rimmptsk) DRV - [2006.11.14 20:42:46 | 000,043,520 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\rimsptsk.sys -- (rimsptsk) DRV - [2006.11.14 18:35:20 | 000,037,376 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\rixdptsk.sys -- (rismxdp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 82 15 05 C6 87 39 CB 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local;192.168.*.* ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.com/" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINXP\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Acrobat: C:\Programme\Adobe\Acrobat 9.0\Acrobat\Air\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.18 17:47:10 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.06.06 08:17:47 | 000,000,000 | ---D | M] [2010.01.09 20:27:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Mozilla\Extensions [2012.07.26 12:37:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Mozilla\Firefox\Profiles\8m9a7y26.default\extensions [2012.07.01 21:40:10 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.07.25 20:58:50 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2012.07.18 17:47:10 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.12 11:20:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.12 11:20:22 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.10.12 11:20:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.10.12 11:20:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.12 11:20:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.12 11:20:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.04.20 08:43:48 | 000,000,854 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 activate.adobe.com O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation) O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BCSSync] C:\Programme\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation) O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NVHotkey] C:\WINXP\System32\nvhotkey.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINXP\System32\nwiz.exe () O4 - HKLM..\Run: [OEM02Mon.exe] C:\WINXP\OEM02Mon.exe (Creative Technology Ltd.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1 O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Nach Microsoft E&xel exportieren - Reg Error: Value error. File not found O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.191.74.19 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{331A2437-E14F-477D-B741-B0D817974197}: DhcpNameServer = 213.191.74.19 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8CEC3466-B3CC-4ACC-8FCE-12F6FD6C87BE}: DhcpNameServer = 192.168.234.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.01.09 18:54:59 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{8eb30e86-9ecf-11e1-8806-001d09aca109}\Shell - "" = AutoRun O33 - MountPoints2\{8eb30e86-9ecf-11e1-8806-001d09aca109}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{8eb30e86-9ecf-11e1-8806-001d09aca109}\Shell\AutoRun\command - "" = H:\AutoRun.exe O33 - MountPoints2\{8eb30e89-9ecf-11e1-8806-001d09aca109}\Shell - "" = AutoRun O33 - MountPoints2\{8eb30e89-9ecf-11e1-8806-001d09aca109}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{8eb30e89-9ecf-11e1-8806-001d09aca109}\Shell\AutoRun\command - "" = H:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINXP\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINXP\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINXP\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINXP\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIEActiveSetup SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE ActiveX: >{99820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: Microsoft Base Smart Card Crypto Provider Package - NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe - (Broadcom Corporation.) MsConfig - StartUpReg: Acrobat Assistant 8.0 - hkey= - key= - C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) MsConfig - StartUpReg: Adobe Acrobat Speed Launcher - hkey= - key= - C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: AdobeCS4ServiceManager - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: APSDaemon - hkey= - key= - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) MsConfig - StartUpReg: Eraser - hkey= - key= - C:\Programme\Eraser\Eraser.exe (The Eraser Project) MsConfig - StartUpReg: ISUSPM Startup - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) MsConfig - StartUpReg: ISUSScheduler - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.) MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation) MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\QTTask.exe (Apple Inc.) MsConfig - StartUpReg: Samsung PanelMgr - hkey= - key= - C:\WINXP\Samsung\PanelMgr\SSMMgr.exe () MsConfig - StartUpReg: SigmatelSysTrayApp - hkey= - key= - File not found MsConfig - StartUpReg: WinampAgent - hkey= - key= - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.08.02 14:16:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Aehny\Recent [2012.07.19 10:56:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Aehny\Startmenü\Programme\xp-AntiSpy [2012.07.19 10:56:49 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy [2012.07.18 22:48:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\dll-files.com [2012.07.18 22:48:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dll-Files.com Fixer [2012.07.18 22:48:30 | 000,000,000 | ---D | C] -- C:\Programme\Dll-Files.com Fixer [2012.07.18 22:45:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Aehny\Eigene Dateien\Downloads [2012.07.18 10:58:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Aehny\Desktop\Tools [2007.08.13 17:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\CDRip.dll [2007.01.18 21:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe [2006.12.11 19:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\basscd.dll [2006.12.11 19:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\bass.dll [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] [1 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.08.05 11:00:31 | 000,000,880 | ---- | M] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job [2012.08.05 10:27:03 | 000,126,589 | ---- | M] () -- C:\WINXP\System32\nvModes.001 [2012.08.05 10:26:51 | 000,169,472 | ---- | M] () -- C:\WINXP\System32\nvapps.xml [2012.08.05 10:26:45 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2012.08.05 10:26:43 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2012.08.02 11:02:55 | 000,126,589 | ---- | M] () -- C:\WINXP\System32\nvModes.dat [2012.08.01 07:26:07 | 000,019,888 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\Desktop\HermesPaketschein Picknickset.pdf [2012.07.30 08:10:44 | 000,121,716 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\Desktop\RyanairBoardingPass.pdf [2012.07.19 18:21:00 | 000,000,470 | ---- | M] () -- C:\WINXP\tasks\Ad-Aware Update (Weekly).job [2012.07.19 15:00:45 | 000,064,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.19 11:03:45 | 000,036,864 | ---- | M] () -- C:\WINXP\System32\dllcache\ctfmon.exe [2012.07.19 11:03:45 | 000,036,864 | ---- | M] () -- C:\WINXP\System32\ctfmon.exe [2012.07.18 22:50:41 | 000,000,272 | ---- | M] () -- C:\WINXP\tasks\DLL-files.com Fixer_UPDATES.job [2012.07.18 22:50:41 | 000,000,256 | ---- | M] () -- C:\WINXP\tasks\DLL-files.com Fixer_MONTHLY.job [2012.07.18 11:00:29 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\defogger_reenable [2012.07.11 19:47:16 | 002,094,160 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] [1 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.08.01 07:26:07 | 000,019,888 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Desktop\HermesPaketschein Picknickset.pdf [2012.07.30 08:10:42 | 000,121,716 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Desktop\RyanairBoardingPass.pdf [2012.07.18 22:48:48 | 000,000,272 | ---- | C] () -- C:\WINXP\tasks\DLL-files.com Fixer_UPDATES.job [2012.07.18 22:48:47 | 000,000,256 | ---- | C] () -- C:\WINXP\tasks\DLL-files.com Fixer_MONTHLY.job [2012.07.18 11:00:18 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\defogger_reenable [2012.05.02 08:13:13 | 000,001,430 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml [2012.02.15 16:47:51 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll [2011.09.06 21:36:01 | 000,540,672 | ---- | C] () -- C:\WINXP\System32\Tx32.dll [2011.07.02 13:42:03 | 000,044,068 | -H-- | C] () -- C:\WINXP\System32\mlfcache.dat [2011.04.20 22:24:23 | 000,008,192 | ---- | C] () -- C:\WINXP\System32\srvany.exe [2011.01.29 10:53:42 | 000,000,022 | ---- | C] () -- C:\WINXP\hks.ini [2011.01.29 10:53:36 | 000,000,044 | ---- | C] () -- C:\WINXP\odbcddp.ini [2011.01.29 10:53:34 | 000,006,496 | ---- | C] () -- C:\WINXP\ODBCADM.EXE [2010.11.28 14:35:32 | 000,001,025 | ---- | C] () -- C:\WINXP\System32\sysprs7.dll [2010.11.28 14:35:32 | 000,000,203 | ---- | C] () -- C:\WINXP\System32\lsprst7.dll [2010.11.05 07:39:27 | 000,000,056 | -H-- | C] () -- C:\WINXP\System32\ezsidmv.dat [2010.09.25 15:03:23 | 000,008,220 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol [2010.02.04 13:40:06 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\PUTTY.RND [2010.01.10 15:40:11 | 000,064,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.08.13 17:46:00 | 000,155,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll [2006.10.26 01:06:48 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll [2006.10.26 01:06:48 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll [2006.10.26 01:06:46 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbis.dll [2006.10.26 01:06:36 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\ogg.dll [2005.08.23 22:34:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll ========== LOP Check ========== [2010.01.09 20:32:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\DAEMON Tools Lite [2012.07.18 22:48:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\dll-files.com [2012.04.20 12:48:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Dropbox [2011.04.27 18:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Duden [2011.05.20 16:21:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\EndNote [2011.12.11 12:06:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\FileZilla [2010.01.11 16:26:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\InfraRecorder [2011.12.08 12:47:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\M-HTOEFL [2010.12.21 13:36:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Sawtooth Software, Inc [2010.02.03 16:01:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Aehny\Anwendungsdaten\Windows Search [2011.04.27 18:09:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIFAB [2011.06.15 08:56:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.02.06 14:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cisco [2010.01.09 20:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.11.28 14:38:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel [2011.04.20 20:46:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers [2010.05.08 18:39:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.01.20 22:48:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2012.07.19 18:21:00 | 000,000,470 | ---- | M] () -- C:\WINXP\Tasks\Ad-Aware Update (Weekly).job [2012.07.18 22:50:41 | 000,000,256 | ---- | M] () -- C:\WINXP\Tasks\DLL-files.com Fixer_MONTHLY.job [2012.07.18 22:50:41 | 000,000,272 | ---- | M] () -- C:\WINXP\Tasks\DLL-files.com Fixer_UPDATES.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.08.15 22:47:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2011.08.16 00:09:44 | 000,000,000 | ---D | M] -- C:\eeepcfr [2010.01.09 20:42:08 | 000,000,000 | RH-D | M] -- C:\MSOCache [2012.07.19 10:56:49 | 000,000,000 | ---D | M] -- C:\Programme [2010.01.09 20:37:48 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2012.01.10 13:00:41 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2012.07.19 11:09:51 | 000,000,000 | ---D | M] -- C:\WINXP < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2009.12.08 19:23:56 | 017,816,136 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:AGP440.sys [2004.08.04 05:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\eeepcfr\OTLPE\I386\SYSTEM32\DRIVERS\AGP440.SYS < MD5 for: ATAPI.SYS > [2009.12.08 19:23:56 | 017,816,136 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\dllcache\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\drivers\atapi.sys [2008.04.14 12:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys [2004.08.04 03:07:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\eeepcfr\OTLPE\I386\SYSTEM32\DRIVERS\ATAPI.SYS < MD5 for: EVENTLOG.DLL > [2008.04.14 12:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\dllcache\eventlog.dll [2008.04.14 12:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\eventlog.dll [2004.08.04 03:07:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=82B24CB70E5944E6E34662205A2A5B78 -- C:\eeepcfr\OTLPE\I386\SYSTEM32\EVENTLOG.DLL < MD5 for: EXPLORER.EXE > [2008.04.14 12:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\explorer.exe [2004.08.04 03:07:00 | 001,032,192 | ---- | M] (Microsoft Corporation) MD5=A0732187050030AE399B241436565E64 -- C:\eeepcfr\OTLPE\I386\EXPLORER.EXE < MD5 for: NETLOGON.DLL > [2008.04.14 12:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\dllcache\netlogon.dll [2008.04.14 12:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\netlogon.dll [2004.08.04 03:07:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=96353FCECBA774BB8DA74A1C6507015A -- C:\eeepcfr\OTLPE\I386\SYSTEM32\NETLOGON.DLL < MD5 for: SCECLI.DLL > [2004.08.04 03:07:00 | 000,180,224 | ---- | M] (Microsoft Corporation) MD5=0F78E27F563F2AAF74B91A49E2ABF19A -- C:\eeepcfr\OTLPE\I386\SYSTEM32\SCECLI.DLL [2008.04.14 12:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\dllcache\scecli.dll [2008.04.14 12:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 12:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINXP\system32\dllcache\user32.dll [2008.04.14 12:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINXP\system32\user32.dll [2004.08.04 03:07:00 | 000,577,024 | ---- | M] (Microsoft Corporation) MD5=C72661F8552ACE7C5C85E16A3CF505C4 -- C:\eeepcfr\OTLPE\I386\SYSTEM32\USER32.DLL < MD5 for: USERINIT.EXE > [2004.08.04 03:07:00 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=39B1FFB03C2296323832ACBAE50D2AFF -- C:\eeepcfr\OTLPE\I386\SYSTEM32\USERINIT.EXE [2008.04.14 12:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\dllcache\userinit.exe [2008.04.14 12:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.04 03:07:00 | 000,502,272 | ---- | M] (Microsoft Corporation) MD5=01C3346C241652F43AED8E2149881BFE -- C:\eeepcfr\OTLPE\I386\SYSTEM32\WINLOGON.EXE [2012.07.03 13:46:42 | 000,217,672 | ---- | M] () MD5=8A7F34F0BBD076EC3815680A7309114F -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 12:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\dllcache\winlogon.exe [2008.04.14 12:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 03:07:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\eeepcfr\OTLPE\I386\SYSTEM32\DRIVERS\WS2IFSL.SYS [2008.04.14 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINXP\system32\dllcache\ws2ifsl.sys [2008.04.14 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINXP\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.01.09 19:43:58 | 000,094,208 | ---- | M] () -- C:\WINXP\System32\config\default.sav [2010.01.09 19:43:58 | 001,093,632 | ---- | M] () -- C:\WINXP\System32\config\software.sav [2010.01.09 19:43:58 | 000,479,232 | ---- | M] () -- C:\WINXP\System32\config\system.sav < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ] < %USERPROFILE%\*.* > [2012.07.18 11:00:29 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\defogger_reenable [2012.08.02 14:16:58 | 006,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\ntuser.dat [2012.08.05 11:10:44 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Aehny\NTUSER.DAT.LOG [2012.08.02 14:16:57 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Aehny\ntuser.ini [2010.02.04 13:40:06 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Aehny\PUTTY.RND < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < End of report > |
|
08.08.2012, 17:36
| #6 | |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) sorry für die wartezeit Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ --> C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) |
|
13.08.2012, 16:31
| #7 |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)Code:
ATTFilter ComboFix 12-08-13.01 - Aehny 13.08.2012 17:17:41.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1437 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Aehny\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\Aehny\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
c:\dokumente und einstellungen\Aehny\WINDOWS
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
C:\Thumbs.db
c:\winxp\EventSystem.log
c:\winxp\system32\AegisI5Installer.exe
c:\winxp\system32\Thumbs.db
.
Infizierte Kopie von c:\winxp\system32\ctfmon.exe wurde gefunden und desinfiziert
Kopie von - c:\system volume information\_restore{B3EA41C9-0CA6-4C1F-A842-46867CB6A9AA}\RP464\A0160470.exe wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-07-13 bis 2012-08-13 ))))))))))))))))))))))))))))))
.
.
2012-07-19 09:03 . 2008-04-14 10:00 15360 ----a-w- c:\winxp\system32\ctfmon.exe.backup
2012-07-18 20:48 . 2012-07-18 20:48 -------- d-----w- c:\dokumente und einstellungen\Aehny\Anwendungsdaten\dll-files.com
2012-07-18 20:48 . 2012-07-18 20:48 -------- d-----w- c:\programme\Dll-Files.com Fixer
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-05 09:00 . 2012-05-03 16:03 426184 ----a-w- c:\winxp\system32\FlashPlayerApp.exe
2012-08-05 09:00 . 2011-06-01 04:56 70344 ----a-w- c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-07-03 11:46 . 2010-11-23 18:22 22344 ----a-w- c:\winxp\system32\drivers\mbam.sys
2012-06-13 13:55 . 2009-11-10 16:46 1875200 ----a-w- c:\winxp\system32\win32k.sys
2012-06-08 07:02 . 2012-06-08 07:02 855 ----a-w- c:\winxp\QSFVExit.bat
2012-06-06 06:17 . 2012-06-06 06:17 73728 ----a-w- c:\winxp\system32\javacpl.cpl
2012-06-06 06:17 . 2012-06-06 06:17 476960 ----a-w- c:\winxp\system32\npdeployJava1.dll
2012-06-06 06:17 . 2010-05-14 10:23 472864 ----a-w- c:\winxp\system32\deployJava1.dll
2012-06-05 15:48 . 2009-12-08 17:13 1447936 ----a-w- c:\winxp\system32\msxml6.dll
2012-06-05 15:48 . 2009-12-08 17:13 1172480 ----a-w- c:\winxp\system32\msxml3.dll
2012-06-04 04:31 . 2009-09-04 21:39 153088 ----a-w- c:\winxp\system32\schannel.dll
2012-06-02 13:19 . 2010-01-09 16:52 329240 ----a-w- c:\winxp\system32\wucltui.dll
2012-06-02 13:19 . 2010-01-09 16:52 210968 ----a-w- c:\winxp\system32\wuweb.dll
2012-06-02 13:19 . 2010-01-09 16:52 219160 ----a-w- c:\winxp\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24 18456 ----a-w- c:\winxp\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- c:\winxp\system32\wuapi.dll.mui
2012-06-02 13:19 . 2010-01-09 16:52 53784 ----a-w- c:\winxp\system32\wuauclt.exe
2012-06-02 13:19 . 2010-01-09 16:52 35864 ----a-w- c:\winxp\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 18:24 45080 ----a-w- c:\winxp\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- c:\winxp\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 10:00 97304 ----a-w- c:\winxp\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24 23576 ----a-w- c:\winxp\system32\wucltui.dll.mui
2012-06-02 13:19 . 2010-01-09 16:52 577048 ----a-w- c:\winxp\system32\wuapi.dll
2012-06-02 13:19 . 2010-01-09 16:52 1933848 ----a-w- c:\winxp\system32\wuaueng.dll
2012-06-02 13:18 . 2011-04-20 20:30 275696 ----a-w- c:\winxp\system32\mucltui.dll
2012-06-02 13:18 . 2011-04-20 20:30 214256 ----a-w- c:\winxp\system32\muweb.dll
2012-06-02 13:18 . 2011-04-20 20:30 18160 ----a-w- c:\winxp\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 10:00 604160 ----a-w- c:\winxp\system32\crypt32.dll
2012-05-16 15:04 . 2009-12-08 17:15 920064 ----a-w- c:\winxp\system32\wininet.dll
2012-07-18 15:47 . 2011-05-09 08:47 136672 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-02-22 86016]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"OEM02Mon.exe"="c:\winxp\OEM02Mon.exe" [2007-05-10 36864]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-03-23 519632]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\winxp\pss\BTTray.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2012-03-26 07:00 640440 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2012-03-27 03:40 40376 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 05:58 611712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2011-09-27 06:22 59240 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
2012-05-22 06:13 980920 ----a-w- c:\progra~1\Eraser\Eraser.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2004-08-09 04:03 221184 ----a-w- c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2004-08-09 04:03 81920 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-11-12 23:24 421736 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 04:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2009-08-15 04:38 614400 ----a-w- c:\winxp\Samsung\PanelMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2007-05-10 09:22 405504 ----a-w- c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Sawtooth Software\\SSI Web\\LocalWeb\\Apache.exe"=
"c:\\Programme\\Sawtooth Software\\SSI Web\\SSIWeb.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
.
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [08.02.2012 22:11 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.02.2012 22:11 86224]
R2 Skype C2C Service;Skype C2C Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe [05.07.2012 18:41 3048136]
R2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [24.03.2011 00:34 435152]
S2 KMService;KMService;c:\winxp\system32\srvany.exe [20.04.2011 22:24 8192]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [07.06.2012 19:12 160944]
S2 SSPORT;SSPORT;\??\c:\winxp\system32\Drivers\SSPORT.sys --> c:\winxp\system32\Drivers\SSPORT.sys [?]
S3 acsint;acsint;c:\winxp\system32\drivers\acsint.sys [06.02.2012 14:24 36624]
S3 acsmux;acsmux;c:\winxp\system32\drivers\acsmux.sys [06.02.2012 14:24 46480]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [03.05.2012 18:03 250056]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\DRIVERS\ewusbnet.sys --> c:\winxp\system32\DRIVERS\ewusbnet.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\winxp\system32\DRIVERS\ewusbdev.sys --> c:\winxp\system32\DRIVERS\ewusbdev.sys [?]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [12.05.2012 09:21 113120]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\winxp\system32\drivers\s1018bus.sys [01.04.2012 10:45 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\winxp\system32\drivers\s1018mdfl.sys [01.04.2012 10:45 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\winxp\system32\drivers\s1018mdm.sys [01.04.2012 10:45 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\winxp\system32\drivers\s1018mgmt.sys [01.04.2012 10:45 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\winxp\system32\drivers\s1018nd5.sys [01.04.2012 10:45 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\winxp\system32\drivers\s1018obex.sys [01.04.2012 10:45 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\winxp\system32\drivers\s1018unic.sys [01.04.2012 10:45 109864]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [09.01.2010 20:29 691696]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-13 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-03 09:00]
.
2012-06-15 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-18 c:\winxp\Tasks\DLL-files.com Fixer_MONTHLY.job
- c:\programme\Dll-Files.com Fixer\DLLFixer.exe [2012-07-18 12:12]
.
2012-07-18 c:\winxp\Tasks\DLL-files.com Fixer_UPDATES.job
- c:\programme\Dll-Files.com Fixer\DLLFixer.exe [2012-07-18 12:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local;*.local;192.168.*.*
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 213.191.92.87 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Aehny\Anwendungsdaten\Mozilla\Firefox\Profiles\8m9a7y26.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-WinampAgent - c:\programme\Winamp\winampa.exe
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-13 17:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(768)
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\btncopy.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Intel\Wireless\Bin\WLKeeper.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\winxp\system32\rundll32.exe
c:\winxp\system32\RUNDLL32.EXE
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-13 17:26:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-08-13 15:26
.
Vor Suchlauf: 4.729.106.432 Bytes frei
Nach Suchlauf: 4.760.678.400 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 30136AE71085E46FE269F813DBF6BCB9
|
|
14.08.2012, 17:12
| #8 |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.08.2012, 21:14
| #9 |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.14.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Aehny :: [Administrator] 14.08.2012 20:16:11 mbam-log-2012-08-14 (20-16-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 311470 Laufzeit: 59 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
16.08.2012, 17:37
| #10 |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) lade den CCleaner standard: CCleaner Download - CCleaner 3.21.1767 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
16.08.2012, 19:27
| #11 |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)Code:
ATTFilter Notwendig 7-Zip 9.20 Notwendig Adobe Acrobat 9 Pro Extended - English, Français, Deutsch Adobe Systems 9.5.1 Notwendig Adobe Flash Player 11 Plugin Adobe Systems Incorporated 11.3.300.271 Notwendig Adobe Photoshop CS4 Adobe Systems Incorporated 11.0 Notwendig Anti-Twin (Installation 31.01.2012) Joerg Rosenthal, Germany Unbekannt Apple Application Support Apple Inc. 2.1.9 Unbekannt Apple Mobile Device Support Apple Inc. 5.2.0.6 Unbekannt Apple Software Update Apple Inc. 2.1.3.127 Notwendig Avira Free Antivirus Avira 12.0.0.1167 Unbekannt Bonjour Apple Inc. 3.0.0.10 Notwendig Broadcom 440x 10/100 Integrated Controller Broadcom Corporation 10.04.01 Notwendig Canon MP250 series MP Drivers Notwendig CCleaner Piriform 3.00 Notwendig Cisco AnyConnect Secure Mobility Client Cisco Systems, Inc. 3.0.1047 Notwendig Conexant HDA D330 MDC V.92 Modem Notwendig Deinstallieren von Busspur AVV 10.06.2012 bis 08.12.2012 Notwendig Dll-Files.com Fixer Dll-Files.com 1.0 Notwendig Duden Korrektor Patch 012009 Bibliographisches Institut & F.A. Brockhaus AG 6.00.1000 Notwendig Duden Korrektor PLUS Bibliographisches Institut & F.A. Brockhaus AG 6.00.00 Notwendig EndNote X4 Thomson Reuters 14.0.2.5149 Unbekannt Eraser 6.0.10.2620 The Eraser Project 6.0.2620 Notwendig Excel Utilities 2.1 Notwendig InfraRecorder Notwendig Intel(R) PROSet/Wireless Software Intel Corporation 11.5.0000 Notwendig iTunes Apple Inc. 10.6.3.25 Notwendig Java(TM) 6 Update 32 Oracle 6.0.320 Notwendig Laptop Integrated Webcam Driver (1.04.01.1011) Notwendig Malwarebytes Anti-Malware Version 1.62.0.1300 Malwarebytes Corporation 1.62.0.1300 Unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 Unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 2.2.30729 Unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 Unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 3.2.30729 Unbekannt Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation Unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation Unbekannt Microsoft Office Enterprise 2007 Microsoft Corporation 12.0.6612.1000 Unbekannt Microsoft Office File Validation Add-In Microsoft Corporation 14.0.5130.5003 Unbekannt Microsoft Office Outlook Connector Microsoft Corporation 14.0.6123.5001 Unbekannt Microsoft Office Professional Plus 2010 Microsoft Corporation 14.0.6029.1000 Unbekannt Microsoft Office Visio Professional 2007 Microsoft Corporation 12.0.6612.1000 Unbekannt Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.59193 Unbekannt Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 9.0.30729.5570 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 9.0.21022 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 9.0.30729.6161 Unbekannt Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 10.0.40219 Notwendig Mozilla Firefox 14.0.1 (x86 de) Mozilla 14.0.1 Unbekannt Mozilla Maintenance Service Mozilla 14.0.1 Unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 Unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 Notwendig NVIDIA Drivers Notwendig Office-Bibliothek Bibliographisches Institut & F.A. Brockhaus AG 5.00.4 Unbekannt QuickTime Apple Inc. 7.72.80.56 Unbekannt ResearchSoft Direct Export Helper Notwendig Rossmann Fotowelt Software 4.12.1 ORWO Net 4.12.1 Notwendig Samsung ML-1640 Series Samsung Electronics CO.,LTD Notwendig Sawtooth Software SMRT 4.20.2 Sawtooth Software, Inc. 4.20.2 Notwendig Sawtooth Software SSI Web 7.0.20 Sawtooth Software, Inc. 7.0.20 Notwendig Security Update for Windows Search 4 - KB963093 Microsoft Corporation Notwendig SigmaTel Audio SigmaTel 5.10.5210.0 Unbekannt Skype Click to Call Skype Technologies S.A. 6.1.10441 Notwendig Skype™ 5.10 Skype Technologies S.A. 5.10.116 Unbekannt Update für Windows XP (KB943729) Microsoft Corporation Notwendig VLC media player 1.0.5 VideoLAN Team 1.0.5 Notwendig WIDCOMM Bluetooth Software Dell 5.1.0.3400 Unbekannt Windows-Treiberpaket - Ricoh Company (rimsptsk) hdc (11/14/2006 6.00.01.04) Ricoh Company 11/14/2006 6.00.01.04 Unnötig WinRAR Notwendig XY Chart Labeler 7.0 Code:
ATTFilter Notwendig 7-Zip 9.20 Notwendig Adobe Acrobat 9 Pro Extended - English, Français, Deutsch Adobe Systems 9.5.1 Notwendig Adobe Flash Player 11 Plugin Adobe Systems Incorporated 11.3.300.271 Notwendig Adobe Photoshop CS4 Adobe Systems Incorporated 11.0 Notwendig Anti-Twin (Installation 31.01.2012) Joerg Rosenthal, Germany Unbekannt Apple Application Support Apple Inc. 2.1.9 Unbekannt Apple Mobile Device Support Apple Inc. 5.2.0.6 Unbekannt Apple Software Update Apple Inc. 2.1.3.127 Notwendig Avira Free Antivirus Avira 12.0.0.1167 Unbekannt Bonjour Apple Inc. 3.0.0.10 Notwendig Broadcom 440x 10/100 Integrated Controller Broadcom Corporation 10.04.01 Notwendig Canon MP250 series MP Drivers Notwendig CCleaner Piriform 3.00 Notwendig Cisco AnyConnect Secure Mobility Client Cisco Systems, Inc. 3.0.1047 Notwendig Conexant HDA D330 MDC V.92 Modem Notwendig Deinstallieren von Busspur AVV 10.06.2012 bis 08.12.2012 Notwendig Dll-Files.com Fixer Dll-Files.com 1.0 Notwendig Duden Korrektor Patch 012009 Bibliographisches Institut & F.A. Brockhaus AG 6.00.1000 Notwendig Duden Korrektor PLUS Bibliographisches Institut & F.A. Brockhaus AG 6.00.00 Notwendig EndNote X4 Thomson Reuters 14.0.2.5149 Unbekannt Eraser 6.0.10.2620 The Eraser Project 6.0.2620 Notwendig Excel Utilities 2.1 Notwendig InfraRecorder Notwendig Intel(R) PROSet/Wireless Software Intel Corporation 11.5.0000 Notwendig iTunes Apple Inc. 10.6.3.25 Notwendig Java(TM) 6 Update 32 Oracle 6.0.320 Notwendig Laptop Integrated Webcam Driver (1.04.01.1011) Notwendig Malwarebytes Anti-Malware Version 1.62.0.1300 Malwarebytes Corporation 1.62.0.1300 Unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 Unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 2.2.30729 Unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 Unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 3.2.30729 Unbekannt Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation Unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation Unbekannt Microsoft Office Enterprise 2007 Microsoft Corporation 12.0.6612.1000 Unbekannt Microsoft Office File Validation Add-In Microsoft Corporation 14.0.5130.5003 Unbekannt Microsoft Office Outlook Connector Microsoft Corporation 14.0.6123.5001 Notwendig Microsoft Office Professional Plus 2010 Microsoft Corporation 14.0.6029.1000 Notwendig Microsoft Office Visio Professional 2007 Microsoft Corporation 12.0.6612.1000 Unbekannt Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.59193 Unbekannt Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 9.0.30729.5570 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 9.0.21022 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 9.0.30729.6161 Unbekannt Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 10.0.40219 Notwendig Mozilla Firefox 14.0.1 (x86 de) Mozilla 14.0.1 Unbekannt Mozilla Maintenance Service Mozilla 14.0.1 Unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 Unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 Notwendig NVIDIA Drivers Notwendig Office-Bibliothek Bibliographisches Institut & F.A. Brockhaus AG 5.00.4 Unbekannt QuickTime Apple Inc. 7.72.80.56 Unbekannt ResearchSoft Direct Export Helper Notwendig Rossmann Fotowelt Software 4.12.1 ORWO Net 4.12.1 Notwendig Samsung ML-1640 Series Samsung Electronics CO.,LTD Notwendig Sawtooth Software SMRT 4.20.2 Sawtooth Software, Inc. 4.20.2 Notwendig Sawtooth Software SSI Web 7.0.20 Sawtooth Software, Inc. 7.0.20 Notwendig Security Update for Windows Search 4 - KB963093 Microsoft Corporation Notwendig SigmaTel Audio SigmaTel 5.10.5210.0 Unbekannt Skype Click to Call Skype Technologies S.A. 6.1.10441 Notwendig Skype™ 5.10 Skype Technologies S.A. 5.10.116 Unbekannt Update für Windows XP (KB943729) Microsoft Corporation Notwendig VLC media player 1.0.5 VideoLAN Team 1.0.5 Notwendig WIDCOMM Bluetooth Software Dell 5.1.0.3400 Unbekannt Windows-Treiberpaket - Ricoh Company (rimsptsk) hdc (11/14/2006 6.00.01.04) Ricoh Company 11/14/2006 6.00.01.04 Unnötig WinRAR Notwendig XY Chart Labeler 7.0 |
|
20.08.2012, 11:59
| #12 |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren Javadeinstaliere: Download der kostenlosen Java-Software downloade java jre instalieren öffne ccleaner, analysieren, starten öffne otl, bereinigen, pc startet neu, testen wie er läuft.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
29.08.2012, 06:38
| #13 |
| | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) Also meine Freundin sagt, der Computer läuft langsamer als vor der Desinfektion. |
|
30.08.2012, 12:15
| #14 |
| /// Malware-holic | C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) öffne ccleaner, extras, liste der autostart einträge und poste diese.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper) |
| ad-aware, adobe, antivir, avg, avira, bho, bonjour, computer, desktop, document, einstellungen, eraser, firefox, flash player, format, helper, hängen, langs, logfile, mozilla, nvidia, opera, plug-in, registry, scan, searchscopes, senden, sicherheit, software, system |
Linear-Darstellung
