|
Log-Analyse und Auswertung: There is an important Updates for Avira Free Antivirus is Read to Install.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.07.2012, 11:48 | #1 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Habe folgendes Problem. Kurz nach Windows-Start poppt immer folgendes Fenster auf: There is an important Updates for Avira Free Antivirus is Ready to Install. It's Highly Recommended to Start Installation Now. Leider bin ich erst später aufs Forum gestoßen und kann nicht mehr alle durchgeführten Schritte wiedergeben und hab auch die Logfiles der Scans vermutlich nicht mehr. Zu allererst kam diese Meldung bezüglich Microsoft Windows Security Essentials. Hab dann mit der Avira Boot-CD gestartet, dort gab es einen Fund, der neutralisiert wurde. Hab dann im Anschluss alles im Autostart deaktiviert mittels msconfig. Verschiedene nicht benötigte Programme hab ich deinstalliert und temporäre Dateien bereinigt. Dann Avira von CD installiert. Nochmals 2 Funde (in Anwendungsdaten?), diese gelöscht. OTL logfile created on: 24.07.2012 09:31:30 - Run 1 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\Telefonist\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,53 Gb Available Physical Memory | 84,38% Memory free 4,34 Gb Paging File | 3,92 Gb Available in Paging File | 90,33% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 220,37 Gb Total Space | 189,78 Gb Free Space | 86,12% Space Free | Partition Type: NTFS Drive E: | 1,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF Drive T: | 31,23 Gb Total Space | 28,23 Gb Free Space | 90,38% Space Free | Partition Type: FAT32 Drive Z: | 30,92 Mb Total Space | 30,92 Mb Free Space | 100,00% Space Free | Partition Type: FAT Computer Name: DURCHWAHL16 | User Name: Telefonist | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.23 23:08:22 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Telefonist\Desktop\OTL.exe PRC - [2012.07.20 07:31:20 | 000,186,832 | ---- | M] (Google Inc.) -- C:\Programme\Google\Update\1.3.21.115\GoogleCrashHandler.exe PRC - [2012.06.21 05:01:58 | 000,092,632 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe PRC - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.02 00:31:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.11.09 18:38:04 | 000,132,768 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\IPROSetMonitor.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.07.06 08:14:30 | 000,090,112 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe ========== Modules (No Company Name) ========== MOD - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe MOD - [2012.04.16 23:11:02 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.06.21 05:01:58 | 000,092,632 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.11.09 18:38:04 | 000,132,768 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\WINDOWS\system32\IPROSetMonitor.exe -- (Intel(R) PROSet Monitoring Service) Intel(R) SRV - [2006.07.06 08:14:30 | 000,090,112 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\TELEFO~1\LOKALE~1\Temp\ALSysIO.sys -- (ALSysIO) DRV - [2012.06.03 10:44:46 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.12.19 15:12:00 | 000,104,752 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp) DRV - [2011.12.19 15:11:58 | 000,158,512 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxDrv.sys -- (VBoxDrv) DRV - [2011.12.19 15:11:58 | 000,116,016 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - [2011.12.19 15:11:58 | 000,091,440 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxUSBMon.sys -- (VBoxUSBMon) DRV - [2010.07.09 13:18:56 | 000,020,328 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz134_x32.sys -- (cpuz134) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.02.11 09:38:10 | 003,565,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009.12.18 10:58:52 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv) DRV - [2006.07.24 11:20:00 | 001,156,648 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA) DRV - [2006.01.10 12:07:58 | 000,004,864 | ---- | M] (GTek Technologies Ltd.) [Kernel | On_Demand | Stopped] -- C:\Programme\Dell Support\GTAction\triggers\DSproct.sys -- (DSproct) DRV - [2004.06.09 09:29:56 | 000,006,977 | ---- | M] (Gteko Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DDMI2.sys -- (SDDMI2) DRV - [2000.04.20 00:00:02 | 000,006,995 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\ramdisk.sys -- (Ramdisk) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=2070429 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=2070429 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=2070429 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\SearchScopes,DefaultScope = {34BE259C-D96A-41EA-90F3-CCACA5FDCF1D} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{1AE4008C-D561-423C-94B6-4DA063266CCF}: "URL" = hxxp://go.web.de/suchbox/ebay?query={searchTerms} IE - HKCU\..\SearchScopes\{34BE259C-D96A-41EA-90F3-CCACA5FDCF1D}: "URL" = hxxp://go.web.de/suchbox/google?q={searchTerms} IE - HKCU\..\SearchScopes\{ADF72C95-C9A8-4B9F-8910-681DECCF2D06}: "URL" = hxxp://go.1und1.de/suchbox/amazon?tag=1und1icon-21&field-keywords={searchTerms} IE - HKCU\..\SearchScopes\{E7F9060D-6373-4CAC-BE65-2DBD789AF64C}: "URL" = hxxp://de.search.yahoo.com/search?p={searchTerms} IE - HKCU\..\SearchScopes\{F8A348D9-FFB5-402A-BCC3-2940EFBA8FEC}: "URL" = hxxp://go.1und1.de/suchbox/1und1suche?su={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "about:empty" FF - prefs.js..browser.startup.homepage: "" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found [2012.01.23 15:14:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Mozilla\Extensions [2012.01.23 15:14:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2012.02.20 10:41:10 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll ========== Chrome ========== CHR - homepage: CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{googleriginalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie= {inputEncoding}&q={searchTerms} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms} CHR - homepage: CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\20.0.1132.57\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\20.0.1132.57\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\20.0.1132.57\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Java Deployment Toolkit 6.0.310.5 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Programme\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Google Updater (Enabled) = C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll CHR - plugin: Silverlight Plug-In (Enabled) = c:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\ CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\ CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\ O1 HOSTS File: ([2012.02.10 15:36:40 | 000,000,899 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 0.0.0.0 ad.yieldmanager.com O1 - Hosts: 0.0.0.0 tradedoubler.com O1 - Hosts: 127.0.0.1 mlsat04.de O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\Run: [LicenseValidator] C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Identities\{819EF903-9567-47F4-9052-D5E8F734FE3F}\LicenseValidator.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} hxxp://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab (Reg Error: Key error.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178282034421 (MUWebControl Class) O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.3.0.cab (SysInfo Class) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.08.13 13:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{79c9ef22-78c1-11dd-8784-0019d14ef1c1}\Shell\AutoRun\command - "" = J:\wubi.exe --cdmenu O33 - MountPoints2\{b486bdcb-722e-11e0-ab21-0019d14ef1c1}\Shell - "" = AutoRun O33 - MountPoints2\{b486bdcb-722e-11e0-ab21-0019d14ef1c1}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b486bdcb-722e-11e0-ab21-0019d14ef1c1}\Shell\AutoRun\command - "" = K:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.24 09:28:23 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Telefonist\Desktop\OTL.exe [2012.07.24 09:27:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Desktop\DeskItems [2012.07.20 09:50:09 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP [2012.07.20 08:39:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2012.07.20 08:38:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Avira [2012.07.20 08:35:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2012.07.20 08:34:55 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2012.07.20 08:34:54 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.07.20 08:34:54 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.07.20 08:34:54 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.07.20 08:34:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2012.07.20 08:34:53 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.07.19 17:20:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2012.07.19 13:42:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Help [2012.07.19 13:22:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\TeamViewer [2012.07.19 08:36:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2012.07.18 11:15:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\TomTom [2012.07.18 11:14:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TomTom [2012.07.18 11:14:28 | 000,000,000 | ---D | C] -- C:\Programme\TomTom HOME 2 [2012.07.18 11:14:18 | 000,000,000 | ---D | C] -- C:\Programme\TomTom International B.V [2012.07.18 11:12:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations [2012.07.18 10:22:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\Thunderbird [2012.07.18 10:22:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Thunderbird [2011.10.12 17:11:20 | 004,754,944 | ---- | C] (Geza Kovacs) -- C:\Programme\unetbootin-windows-563.exe [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.24 09:29:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\defogger_reenable [2012.07.24 08:36:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.07.24 07:36:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.07.24 07:33:01 | 000,000,424 | ---- | M] () -- C:\WINDOWS\tasks\SystemToolsDailyTest.job [2012.07.24 07:17:59 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.24 07:17:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.23 23:09:57 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe [2012.07.23 23:08:22 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Telefonist\Desktop\OTL.exe [2012.07.23 23:07:10 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Desktop\Defogger.exe [2012.07.23 10:39:26 | 000,000,167 | ---- | M] () -- C:\WINDOWS\Brownie.ini [2012.07.20 18:30:00 | 000,000,338 | ---- | M] () -- C:\WINDOWS\tasks\McAfee.com - Virenscan - Mein Computer (DURCHWAHL16-Norman).job [2012.07.20 17:55:00 | 000,000,204 | ---- | M] () -- C:\WINDOWS\tasks\Runterfahren.job [2012.07.20 11:35:57 | 000,003,356 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\wklnhst.dat [2012.07.19 17:27:09 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif [2012.07.19 17:21:29 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2012.07.19 14:00:05 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job [2012.07.12 14:01:36 | 001,960,408 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\wlan_modem_100.pdf [2012.07.11 08:37:12 | 000,204,120 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.11 08:35:26 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.07.10 13:30:57 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI [2012.07.09 07:49:01 | 000,000,548 | ---- | M] () -- C:\WINDOWS\tasks\PCDoctorBackgroundMonitorTask.job [2012.06.28 10:01:18 | 000,001,886 | -H-- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\Default.rdp [2012.06.25 11:22:58 | 000,763,661 | ---- | M] () -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\iOS_Security_May12.pdf [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.24 09:29:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\defogger_reenable [2012.07.24 09:28:23 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe [2012.07.24 09:28:23 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Desktop\Defogger.exe [2012.07.20 09:50:12 | 000,001,527 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP.lnk [2012.07.20 09:50:11 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2012.07.12 14:01:44 | 001,960,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\wlan_modem_100.pdf [2012.06.25 11:23:00 | 000,763,661 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Eigene Dateien\iOS_Security_May12.pdf [2012.05.09 09:27:29 | 000,426,152 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2012.04.03 13:00:09 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.02.28 14:47:11 | 000,000,313 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI [2012.02.28 14:47:11 | 000,000,167 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2012.02.28 14:47:11 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2012.02.28 14:47:02 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL [2012.02.28 14:47:02 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2012.02.28 14:47:02 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2012.02.28 14:47:01 | 000,008,975 | ---- | C] () -- C:\WINDOWS\HL-2030.INI [2012.02.15 08:19:17 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2009.11.03 18:58:10 | 000,000,218 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\.recently-used.xbel [2009.06.23 12:58:06 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.07.18 15:35:52 | 000,000,027 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\java.bat [2007.12.05 11:58:31 | 000,089,440 | ---- | C] () -- C:\Programme\MCAFEF [2007.09.20 10:54:35 | 000,003,356 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\wklnhst.dat [2007.05.03 12:50:19 | 000,281,994 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\TRANSFORMS=1031.mst [2007.05.03 12:50:19 | 000,000,143 | ---- | C] () -- C:\Dokumente und Einstellungen\Telefonist\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat ========== LOP Check ========== [2011.02.08 16:56:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2009.03.24 10:02:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1 [2011.10.18 14:05:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCDr [2011.03.03 09:07:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SupportSoft [2007.05.04 14:48:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2012.07.19 08:36:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2011.05.02 14:37:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\.purple [2009.01.20 15:44:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\1&1 [2011.06.16 08:21:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\AChat [2010.01.29 12:05:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\BITS [2011.02.08 16:56:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Canneverbe Limited [2012.07.19 17:24:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Dropbox [2009.02.11 14:41:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Foxit [2011.09.23 10:51:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Foxit Software [2009.11.03 17:35:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\gtk-2.0 [2010.04.12 12:26:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Notepad++ [2008.12.19 19:04:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\OpenOffice.org [2010.02.22 13:37:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Opera [2010.12.10 09:31:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\PCDr [2009.07.30 14:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\PTV AG [2010.05.06 11:55:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Softland [2012.07.19 13:22:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\TeamViewer [2007.09.20 10:54:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Template [2012.07.18 10:22:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Thunderbird [2012.01.23 15:14:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\TomTom [2008.07.23 10:17:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Windows Search [2010.09.21 12:15:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\XMedia Recode [2012.07.09 07:49:01 | 000,000,548 | ---- | M] () -- C:\WINDOWS\Tasks\PCDoctorBackgroundMonitorTask.job [2012.07.20 17:55:00 | 000,000,204 | ---- | M] () -- C:\WINDOWS\Tasks\Runterfahren.job [2012.07.24 07:33:01 | 000,000,424 | ---- | M] () -- C:\WINDOWS\Tasks\SystemToolsDailyTest.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 < End of report > OTL Extras logfile created on: 24.07.2012 09:31:30 - Run 1 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\Telefonist\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,53 Gb Available Physical Memory | 84,38% Memory free 4,34 Gb Paging File | 3,92 Gb Available in Paging File | 90,33% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 220,37 Gb Total Space | 189,78 Gb Free Space | 86,12% Space Free | Partition Type: NTFS Drive E: | 1,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF Drive T: | 31,23 Gb Total Space | 28,23 Gb Free Space | 90,38% Space Free | Partition Type: FAT32 Drive Z: | 30,92 Mb Total Space | 30,92 Mb Free Space | 100,00% Space Free | Partition Type: FAT Computer Name: DURCHWAHL16 | User Name: Telefonist | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 1 "FirewallDisableNotify" = 1 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\FileMaker\FileMaker Pro 8.5\FileMaker Pro.exe" = C:\Programme\FileMaker\FileMaker Pro 8.5\FileMaker Pro.exe:*:Enabled:FileMaker Pro -- (FileMaker, Inc.) "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" = C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2 "C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe" = C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate "C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe" = C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx "C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software) "C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary "C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth "C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth "C:\Programme\AChat\AChat.exe" = C:\Programme\AChat\AChat.exe:*:Enabled:AChat - LAN chatting application "C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabledropbox "C:\Programme\Opera\pluginwrapper\opera_plugin_wrapper.exe" = C:\Programme\Opera\pluginwrapper\opera_plugin_wrapper.exe:*:Enabled:Opera Internet Browser - Plugin wrapper -- (Opera Software) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0090A87C-3E0E-43D4-AA71-A71B06563A4A}" = Dell Support Center "{044F9133-B8D7-4d11-BF39-803FA20F5C8B}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{0E592C31-09EF-3CA1-A7DE-05D13DFCF791}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu "{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack "{1DCCB2B0-A482-464F-94F6-1219693E34F0}_is1" = AeroSnap 0.61 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{26CE484D-2E8E-40D5-B251-158133114C69}" = TomTom HOME "{3163594C-2EBC-49AD-BEC9-16BFCE5AAD4B}" = Brother HL-2030 "{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform "{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}" = SQL Server System CLR Types "{34F3877C-6399-4A89-98FD-C3FE32EEE25C}" = FileMaker Pro 8.5 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3B5E1B15-A238-4233-9AD8-ECC73F48D824}" = Intel Processor Diagnostic Tool "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{466C2D04-E917-4093-B7DF-080C24A7151F}" = Großer Reiseplaner 2008/2009 "{4C552FD3-2CCD-4E00-AC64-0681DBB3F8B5}" = OpenOffice.org 3.4 "{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works "{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{5905F42D-3F5F-4916-ADA6-94A3646AEE76}" = Dell Driver Reset Tool "{5B6BE547-21E2-49CA-B2E2-6A5F470593B1}" = Sonic Activation Module "{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411 "{611E3800-CE31-4953-8AD4-5657B6EE7ACF}" = Oracle VM VirtualBox 4.1.8 "{6438A99C-A37E-4758-A0AE-95F8A63AAFF5}" = Intel(R) Network Connections 16.8.46.0 "{6913FBE5-1B4B-4308-8DDD-2944F9C91E06}" = ATI Catalyst Control Center "{738B0934-6676-44F6-AB52-32F4E60DCA7F}" = Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch) "{74F7662C-B1DB-489E-A8AC-07A06B24978B}" = Dell System Restore "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 "{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger "{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C8E95BF5-C07F-4D98-BB42-F58FC98BC03E}" = Google Apps "{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack "{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CEE2252C-4035-4B27-8EC6-0B085DD3A413}" = Dell Support 3.2.1 "{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call "{EFE3D683-903C-4B58-AB8F-C68C69F33758}" = System Requirements Lab for Intel "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F5E87B12-3C27-452F-8E78-21D42164FD83}" = Microsoft SQL Server 2008 Management Objects "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{FA440BE8-EC2F-4478-A01A-077DA0606501}" = Microsoft SQL Server Compact 3.5 SP1 (Deutsch) "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira Free Antivirus "Dell Support Center" = Dell Support Center "GTK 2.0" = GTK+ Runtime 2.14.7 rev a (nur entfernen) "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation) "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Opera 12.00.1467" = Opera 12.00 "Tweak UI 2.10" = Tweak UI "Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9 "WIC" = Windows Imaging Component "WinBar" = WinBar "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 19.07.2012 11:20:12 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 19.07.2012 11:20:25 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1001 Description = Fehlerhafter Speicherbereich 734037209. Error - 19.07.2012 11:24:13 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 19.07.2012 11:24:52 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 19.07.2012 11:25:56 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 19.07.2012 11:26:17 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1001 Description = Fehlerhafter Speicherbereich 734037209. Error - 19.07.2012 11:26:58 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 20.07.2012 02:37:15 | Computer Name = DURCHWAHL16 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung avguard.exe, Version 12.3.0.15, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00010a19. Error - 24.07.2012 03:29:49 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 24.07.2012 03:31:08 | Computer Name = DURCHWAHL16 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 16.07.2012 01:17:36 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 17.07.2012 01:17:29 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 18.07.2012 01:17:36 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 01:17:36 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 07:37:34 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 07:50:20 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 10:00:39 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 11:12:17 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 19.07.2012 11:23:00 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 20.07.2012 01:17:31 | Computer Name = DURCHWAHL16 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 < End of report > GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-07-24 11:47:09 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.12.0 Running: 851ezo94.exe; Driver: C:\DOKUME~1\TELEFO~1\LOKALE~1\Temp\uglorpog.sys ---- System - GMER 1.0.15 ---- SSDT 9FA1AD3C ZwClose SSDT 9FA1ACF6 ZwCreateKey SSDT 9FA1AD46 ZwCreateSection SSDT 9FA1ACEC ZwCreateThread SSDT 9FA1ACFB ZwDeleteKey SSDT 9FA1AD05 ZwDeleteValueKey SSDT 9FA1AD37 ZwDuplicateObject SSDT 9FA1AD0A ZwLoadKey SSDT 9FA1ACD8 ZwOpenProcess SSDT 9FA1ACDD ZwOpenThread SSDT 9FA1AD5F ZwQueryValueKey SSDT 9FA1AD14 ZwReplaceKey SSDT 9FA1AD50 ZwRequestWaitReplyPort SSDT 9FA1AD0F ZwRestoreKey SSDT 9FA1AD4B ZwSetContextThread SSDT 9FA1AD55 ZwSetSecurityObject SSDT 9FA1AD00 ZwSetValueKey SSDT 9FA1AD5A ZwSystemDebugControl SSDT 9FA1ACE7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB8D59000, 0x1C5D38, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Internet Explorer\iexplore.exe[300] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 039B1642 .text C:\Programme\Internet Explorer\iexplore.exe[300] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 039B152C .text C:\Programme\Internet Explorer\iexplore.exe[300] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 039B1871 .text C:\Programme\Internet Explorer\iexplore.exe[300] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 039B1758 .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[300] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 040F94E0 .text C:\Programme\Internet Explorer\iexplore.exe[300] ws2_32.dll!connect 71A14A07 5 Bytes JMP 040F9250 .text C:\Programme\Internet Explorer\iexplore.exe[300] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 040F9470 .text C:\Programme\Internet Explorer\iexplore.exe[852] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FC1642 .text C:\Programme\Internet Explorer\iexplore.exe[852] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00FC152C .text C:\Programme\Internet Explorer\iexplore.exe[852] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00FC1871 .text C:\Programme\Internet Explorer\iexplore.exe[852] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00FC1758 .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[852] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 016F94E0 .text C:\Programme\Internet Explorer\iexplore.exe[852] WS2_32.dll!connect 71A14A07 5 Bytes JMP 016F9250 .text C:\Programme\Internet Explorer\iexplore.exe[852] WS2_32.dll!getpeername 71A20B68 5 Bytes JMP 016F9470 .text C:\Programme\Internet Explorer\iexplore.exe[920] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01261642 .text C:\Programme\Internet Explorer\iexplore.exe[920] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0126152C .text C:\Programme\Internet Explorer\iexplore.exe[920] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01261871 .text C:\Programme\Internet Explorer\iexplore.exe[920] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01261758 .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[920] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 031394E0 .text C:\Programme\Internet Explorer\iexplore.exe[920] ws2_32.dll!connect 71A14A07 5 Bytes JMP 03139250 .text C:\Programme\Internet Explorer\iexplore.exe[920] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 03139470 .text C:\Programme\Internet Explorer\iexplore.exe[1636] kernel32.dll!CreateProcessW 7C802336 3 Bytes JMP 010C1642 .text C:\Programme\Internet Explorer\iexplore.exe[1636] kernel32.dll!CreateProcessW + 4 7C80233A 1 Byte [84] .text C:\Programme\Internet Explorer\iexplore.exe[1636] kernel32.dll!CreateProcessA 7C80236B 3 Bytes JMP 010C152C .text C:\Programme\Internet Explorer\iexplore.exe[1636] kernel32.dll!CreateProcessA + 4 7C80236F 1 Byte [84] .text C:\Programme\Internet Explorer\iexplore.exe[1636] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 010C1871 .text C:\Programme\Internet Explorer\iexplore.exe[1636] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 010C1758 .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1636] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 018F94E0 .text C:\Programme\Internet Explorer\iexplore.exe[1636] WS2_32.dll!connect 71A14A07 5 Bytes JMP 018F9250 .text C:\Programme\Internet Explorer\iexplore.exe[1636] WS2_32.dll!getpeername 71A20B68 5 Bytes JMP 018F9470 .text C:\Programme\Internet Explorer\iexplore.exe[2056] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01321642 .text C:\Programme\Internet Explorer\iexplore.exe[2056] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0132152C .text C:\Programme\Internet Explorer\iexplore.exe[2056] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01321871 .text C:\Programme\Internet Explorer\iexplore.exe[2056] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01321758 .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2056] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 026C94E0 .text C:\Programme\Internet Explorer\iexplore.exe[2056] WS2_32.dll!connect 71A14A07 5 Bytes JMP 026C9250 .text C:\Programme\Internet Explorer\iexplore.exe[2056] WS2_32.dll!getpeername 71A20B68 5 Bytes JMP 026C9470 .text C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe[2128] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FE1642 .text C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe[2128] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00FE152C .text C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe[2128] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00FE1871 .text C:\Dokumente und Einstellungen\Telefonist\Desktop\851ezo94.exe[2128] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00FE1758 .text C:\Programme\Internet Explorer\iexplore.exe[2556] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01321642 .text C:\Programme\Internet Explorer\iexplore.exe[2556] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 0132152C .text C:\Programme\Internet Explorer\iexplore.exe[2556] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 01321871 .text C:\Programme\Internet Explorer\iexplore.exe[2556] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 01321758 .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2556] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 032694E0 .text C:\Programme\Internet Explorer\iexplore.exe[2556] ws2_32.dll!connect 71A14A07 5 Bytes JMP 03269250 .text C:\Programme\Internet Explorer\iexplore.exe[2556] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 03269470 .text C:\Programme\Internet Explorer\iexplore.exe[2884] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 011C1642 .text C:\Programme\Internet Explorer\iexplore.exe[2884] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 011C152C .text C:\Programme\Internet Explorer\iexplore.exe[2884] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 011C1871 .text C:\Programme\Internet Explorer\iexplore.exe[2884] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 011C1758 .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2884] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 035B94E0 .text C:\Programme\Internet Explorer\iexplore.exe[2884] ws2_32.dll!connect 71A14A07 5 Bytes JMP 035B9250 .text C:\Programme\Internet Explorer\iexplore.exe[2884] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 035B9470 .text C:\Programme\Internet Explorer\iexplore.exe[3436] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 037B1642 .text C:\Programme\Internet Explorer\iexplore.exe[3436] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 037B152C .text C:\Programme\Internet Explorer\iexplore.exe[3436] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 037B1871 .text C:\Programme\Internet Explorer\iexplore.exe[3436] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 037B1758 .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3436] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03DE94E0 .text C:\Programme\Internet Explorer\iexplore.exe[3436] ws2_32.dll!connect 71A14A07 5 Bytes JMP 03DE9250 .text C:\Programme\Internet Explorer\iexplore.exe[3436] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 03DE9470 .text C:\WINDOWS\explorer.exe[3480] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 018F1642 .text C:\WINDOWS\explorer.exe[3480] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 018F152C .text C:\WINDOWS\explorer.exe[3480] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 018F1871 .text C:\WINDOWS\explorer.exe[3480] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 018F1758 .text C:\WINDOWS\system32\ctfmon.exe[3692] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E21642 .text C:\WINDOWS\system32\ctfmon.exe[3692] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00E2152C .text C:\WINDOWS\system32\ctfmon.exe[3692] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 00E21871 .text C:\WINDOWS\system32\ctfmon.exe[3692] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 00E21758 .text C:\Programme\Internet Explorer\iexplore.exe[3748] kernel32.dll!CreateProcessW 7C802336 3 Bytes JMP 010C1642 .text C:\Programme\Internet Explorer\iexplore.exe[3748] kernel32.dll!CreateProcessW + 4 7C80233A 1 Byte [84] .text C:\Programme\Internet Explorer\iexplore.exe[3748] kernel32.dll!CreateProcessA 7C80236B 3 Bytes JMP 010C152C .text C:\Programme\Internet Explorer\iexplore.exe[3748] kernel32.dll!CreateProcessA + 4 7C80236F 1 Byte [84] .text C:\Programme\Internet Explorer\iexplore.exe[3748] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 010C1871 .text C:\Programme\Internet Explorer\iexplore.exe[3748] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 010C1758 .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3748] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AE94E0 .text C:\Programme\Internet Explorer\iexplore.exe[3748] ws2_32.dll!connect 71A14A07 5 Bytes JMP 01AE9250 .text C:\Programme\Internet Explorer\iexplore.exe[3748] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 01AE9470 .text C:\Programme\Internet Explorer\iexplore.exe[4028] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 039B1642 .text C:\Programme\Internet Explorer\iexplore.exe[4028] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 039B152C .text C:\Programme\Internet Explorer\iexplore.exe[4028] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 039B1871 .text C:\Programme\Internet Explorer\iexplore.exe[4028] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 039B1758 .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41367139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413671A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 4136706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 4136726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413670CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 4126DB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] ole32.dll!OleLoadFromStream 774F983B 5 Bytes JMP 4136756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4028] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 040D94E0 .text C:\Programme\Internet Explorer\iexplore.exe[4028] ws2_32.dll!connect 71A14A07 5 Bytes JMP 040D9250 .text C:\Programme\Internet Explorer\iexplore.exe[4028] ws2_32.dll!getpeername 71A20B68 5 Bytes JMP 040D9470 ---- Devices - GMER 1.0.15 ---- Device Ntfs.sys (NT File System Driver/Microsoft Corporation) Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation) Device Udfs.SYS (UDF File System Driver/Microsoft Corporation) Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
25.07.2012, 13:14 | #2 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. Ist das Problem immer noch vorhanden ?
__________________
__________________ |
25.07.2012, 21:21 | #3 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Ja, das Problem besteht noch. Hab am PC nichts mehr verändert, seitdem ich hier gepostet habe, um einen Lösungsansatz nicht zu behindern. Es gibt zwar schon Threads zum Thema, aber der Schädling scheint sich immer recht individuell zu tarnen.
__________________Meine nächsten Ansätze wären jetzt Scan mit McAfee Labs Stinger und die Erstellung einer Rettungs-Boot-DVD nach c't-Anleitung - werde es aber erstmal nur vorbereiten und hier die Vorschläge abwarten. |
26.07.2012, 12:43 | #4 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. [code] Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
26.07.2012, 16:18 | #5 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Hallo, braucht ComboFix eine Internetverbindung? Hab den Rechner abgeklemmt und alle Programme beendet. Jetzt steht seit circa 2 Stunden ComboFix wird vorbereitet auf dem Bildschirm. Mit welcher Scandauer wäre denn circa zu rechnen? Danke schonmal. Viele Grüße Norman ComboFix hängt übrigens immer noch. Laufzeit ist nun größer als 16 Stunden. |
27.07.2012, 13:27 | #6 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. Dann brich Combofix ab, starte den Rechner neu, und starte erneut. Lässt du alle Programme, welche sich mal aufhängen, 16 stunden laufen
__________________ --> There is an important Updates for Avira Free Antivirus is Read to Install. |
27.07.2012, 14:51 | #7 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Haha, hab noch nen Netbook und ein iPhone; zudem ist der Rechner akustisch unaufdringlich Hatte Sorge, dass ich irgendwas abschieße, da ich ComboFix nicht kenne. Nachdem Neustart kam das Virenfenster nicht mehr und Avira hat gleich einen Fund gemeldet. (Vielleicht hatte sich ComboFix aufgehängt, da ich das Virenfenster abgeschossen hatte und kurz drauf automatisch wieder erschien.) Anbei das Log: Combofix Logfile: Code:
ATTFilter ComboFix 12-07-27.01 - **** 27.07.2012 15:24:34.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2614 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\16ab6978-b6b5-41fa-81a1-8bffc55a69b9.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\246b20c1-8ea9-4148-a34e-d03c8a1d5a76.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\27e5bc9a-105f-4d7f-8352-e6ef1c8933dd.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\a2192d8a-3d73-4ff7-be9b-02134f41db63.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\c2690c4c-81f4-4565-a861-643c7af1fa90.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr\5907\Downloads\eb1a169a-7868-4b2c-ae46-52b55b4db151.dll c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP c:\dokumente und einstellungen\****\Anwendungsdaten\1&1 c:\dokumente und einstellungen\****\Anwendungsdaten\1&1\1&1 EasyLogin\EasyLogin.log c:\dokumente und einstellungen\****\Anwendungsdaten\1&1\1&1 EasyLogin\update\EasyLogin_setup_DE.exe c:\dokumente und einstellungen\****\Anwendungsdaten\Help\coredb\storage c:\dokumente und einstellungen\****\Anwendungsdaten\Identities\{DB745225-083A-45F6-B8CF-46C259787513}\UpgradeChecker.exe C:\Install.exe c:\windows\IsUn0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-06-27 bis 2012-07-27 )))))))))))))))))))))))))))))) . . 2012-07-27 13:13 . 2012-07-27 13:13 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2012-07-20 07:50 . 2012-06-03 08:44 5504 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2012-07-20 07:50 . 2012-07-20 07:50 -------- d-----w- c:\programme\CDBurnerXP 2012-07-20 07:35 . 2012-07-20 07:35 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2012-07-20 06:50 . 2012-07-20 06:50 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2012-07-20 06:39 . 2012-07-20 09:31 -------- d-----w- c:\windows\system32\NtmsData 2012-07-20 06:38 . 2012-07-20 06:38 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Avira 2012-07-20 06:34 . 2012-07-20 06:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2012-07-20 06:34 . 2012-04-27 08:20 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys 2012-07-20 06:34 . 2012-04-24 22:32 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-07-20 06:34 . 2012-04-16 19:17 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2012-07-20 06:34 . 2012-07-20 06:34 -------- d-----w- c:\programme\Avira 2012-07-19 11:22 . 2012-07-19 11:22 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\TeamViewer 2012-07-19 06:36 . 2012-07-19 06:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TomTom 2012-07-18 09:14 . 2012-07-18 09:14 -------- d-----w- c:\programme\TomTom HOME 2 2012-07-18 09:14 . 2012-07-18 09:14 -------- d-----w- c:\programme\TomTom International B.V 2012-07-18 09:12 . 2012-07-18 09:12 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations 2012-07-18 08:22 . 2012-07-18 08:22 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Thunderbird 2012-07-18 08:22 . 2012-07-18 08:22 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Thunderbird . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-13 13:55 . 2004-08-13 11:40 1866240 ------w- c:\windows\system32\win32k.sys 2012-06-05 15:49 . 2007-05-15 13:43 1372672 ------w- c:\windows\system32\msxml6.dll 2012-06-05 15:49 . 2004-08-13 11:40 1172480 ----a-w- c:\windows\system32\msxml3.dll 2012-06-04 04:32 . 2004-08-13 11:40 152576 ----a-w- c:\windows\system32\schannel.dll 2012-06-02 13:19 . 2007-06-21 23:11 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui 2012-06-02 13:19 . 2007-06-21 23:11 15896 ----a-w- c:\windows\system32\wuapi.dll.mui 2012-06-02 13:19 . 2004-08-13 11:53 329240 ----a-w- c:\windows\system32\wucltui.dll 2012-06-02 13:19 . 2004-08-13 11:53 219160 ----a-w- c:\windows\system32\wuaucpl.cpl 2012-06-02 13:19 . 2004-08-13 11:53 210968 ----a-w- c:\windows\system32\wuweb.dll 2012-06-02 13:19 . 2007-06-21 23:11 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui 2012-06-02 13:19 . 2005-05-26 03:16 45080 ----a-w- c:\windows\system32\wups2.dll 2012-06-02 13:19 . 2004-08-13 11:53 35864 ----a-w- c:\windows\system32\wups.dll 2012-06-02 13:19 . 2004-08-13 11:53 53784 ----a-w- c:\windows\system32\wuauclt.exe 2012-06-02 13:19 . 2004-08-13 11:40 97304 ----a-w- c:\windows\system32\cdm.dll 2012-06-02 13:19 . 2007-06-21 23:11 23576 ----a-w- c:\windows\system32\wucltui.dll.mui 2012-06-02 13:19 . 2004-08-13 11:53 577048 ----a-w- c:\windows\system32\wuapi.dll 2012-06-02 13:19 . 2004-08-13 11:53 1933848 ----a-w- c:\windows\system32\wuaueng.dll 2012-06-02 13:18 . 2007-06-25 05:18 18160 ----a-w- c:\windows\system32\mucltui.dll.mui 2012-06-02 13:18 . 2007-05-05 02:10 275696 ----a-w- c:\windows\system32\mucltui.dll 2012-06-02 13:18 . 2005-05-26 02:19 214256 ----a-w- c:\windows\system32\muweb.dll 2012-05-31 13:22 . 2004-08-13 11:40 604160 ----a-w- c:\windows\system32\crypt32.dll 2012-05-16 15:07 . 2004-08-13 11:40 916992 ----a-w- c:\windows\system32\wininet.dll 2012-05-11 14:40 . 2004-08-13 11:40 43520 ------w- c:\windows\system32\licmgr10.dll 2012-05-11 14:40 . 2004-08-13 11:40 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-05-11 11:38 . 2004-08-13 11:40 385024 ------w- c:\windows\system32\html.iec 2012-05-05 03:14 . 2004-08-13 11:40 2150912 ------w- c:\windows\system32\ntoskrnl.exe 2012-05-05 03:14 . 2004-08-03 23:50 2029056 ------w- c:\windows\system32\ntkrnlpa.exe 2012-05-02 13:46 . 2004-08-13 11:51 139656 ------w- c:\windows\system32\drivers\rdpwd.sys 2011-10-12 15:11 . 2011-10-12 15:11 4754944 ----a-w- c:\programme\unetbootin-windows-563.exe 2012-07-14 00:15 . 2012-07-24 09:53 136672 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AeroSnap.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AeroSnap.lnk backup=c:\windows\pss\AeroSnap.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^KLT V2.1.url] path=c:\dokumente und einstellungen\****\Startmenü\Programme\Autostart\KLT V2.1.url backup=c:\windows\pss\KLT V2.1.urlStartup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^WinBar.lnk] path=c:\dokumente und einstellungen\****\Startmenü\Programme\Autostart\WinBar.lnk backup=c:\windows\pss\WinBar.lnkStartup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] 2006-01-02 16:41 45056 ----a-w- c:\programme\ATI Technologies\ATI.ACE\CLI.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport] 2006-08-28 20:57 395776 ----a-w- c:\programme\Dell Support\DSAgnt.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif] 2006-07-06 06:15 151552 ----a-w- c:\programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] 2004-07-27 15:50 221184 ----a-w- c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] 2004-07-27 15:50 81920 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe] 2006-11-07 12:49 1121280 ----a-w- c:\programme\McAfee\SpamKiller\MSKDetct.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp] 2006-07-24 09:20 282624 ----a-w- c:\windows\stsystra.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe] 2012-06-21 03:01 247768 ----a-w- c:\programme\TomTom HOME 2\TomTomHOMERunner.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FileMaker\\FileMaker Pro 8.5\\FileMaker Pro.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Opera\\pluginwrapper\\opera_plugin_wrapper.exe"= . R0 Ramdisk;Ramdisk Driver;c:\windows\system32\drivers\ramdisk.sys [20.04.2000 00:00 6995] R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [20.07.2012 08:34 36000] R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [31.03.2009 16:34 158512] R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [31.03.2009 16:33 91440] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.07.2012 08:34 86224] R2 cpuz134;cpuz134;c:\windows\system32\drivers\cpuz134_x32.sys [26.10.2010 15:35 20328] R2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IPROSetMonitor.exe [19.03.2012 12:10 132768] R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [21.06.2012 05:01 92632] R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [08.09.2009 16:56 104752] R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\drivers\VBoxNetFlt.sys [19.12.2011 15:11 116016] S2 gupdate1c9dec2e1780732;Google Update Service (gupdate1c9dec2e1780732);c:\programme\Google\Update\GoogleUpdate.exe [27.05.2009 14:01 133104] S3 ALSysIO;ALSysIO;\??\c:\dokume~1\TELEFO~1\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\TELEFO~1\LOKALE~1\Temp\ALSysIO.sys [?] S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336] S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [27.05.2009 14:01 133104] S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys --> c:\windows\system32\DRIVERS\ew_jubusenum.sys [?] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [24.07.2012 11:53 113120] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . Inhalt des "geplante Tasks" Ordners . 2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-05-27 12:01] . 2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-05-27 12:01] . 2012-07-26 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job - c:\programme\Dell Support Center\uaclauncher.exe [2012-04-13 05:40] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\3texemtd.default\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-LicenseValidator - c:\dokumente und einstellungen\****\Anwendungsdaten\Identities\{819EF903-9567-47F4-9052-D5E8F734FE3F}\LicenseValidator.exe MSConfigStartUp-DellSupportCenter - c:\programme\Dell Support Center\bin\sprtcmd.exe MSConfigStartUp-Google Update - c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe MSConfigStartUp-MSC - c:\programme\Microsoft Security Client\msseces.exe MSConfigStartUp-SunJavaUpdateSched - c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe MSConfigStartUp-UpgradeChecker - c:\dokumente und einstellungen\****\Anwendungsdaten\Identities\{DB745225-083A-45F6-B8CF-46C259787513}\UpgradeChecker.exe AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-07-27 15:29 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1032) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2012-07-27 15:31:29 ComboFix-quarantined-files.txt 2012-07-27 13:31 . Vor Suchlauf: 18 Verzeichnis(se), 203.534.741.504 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 203.890.544.640 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 42F97605745515155BCC6B9E8CC39135 |
27.07.2012, 18:56 | #8 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. Kommt die Meldung immer noch ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
27.07.2012, 21:21 | #9 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Nein, kam komischerweise schon nach dem Neustart wegen des aufgehängten ComboFix nicht mehr. Sollte man noch irgendwas tun, oder dürfte das System jetzt clean sein? für die Hilfe schonmal. |
28.07.2012, 12:25 | #10 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install.ESET Online Scanner
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
30.07.2012, 10:49 | #11 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Nach dem Neustart kam folgende Meldung: siehe Anhang. Da der Fund in einem Wiederherstellungspunkt liegt, habe ich diese auf allen Laufwerken deaktiviert. Werde jetzt dann die im vorigen Post beschriebenen Schritte ausführen. |
30.07.2012, 12:12 | #12 |
| There is an important Updates for Avira Free Antivirus is Read to Install. C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Telefonist\Anwendungsdaten\Identities\{DB745225-083A-45F6-B8CF-46C259787513}\UpgradeChecker.exe.vir a variant of Win32/Kryptik.AIRD trojan Scheint Alles OK. Der Trojaner scheint schon von Avira entschärft worden zu sein. Danke für die Hilfe. |
30.07.2012, 12:20 | #13 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. Wenn es sonst keine Probleme mehr gibt, sind wir hier fertig. Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Hier noch ein paar Tipps zur Absicherung deines Systems. Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
31.07.2012, 08:58 | #14 |
| There is an important Updates for Avira Free Antivirus is Read to Install. Vielen Dank! Du kannst das Abo löschen. Ich werde noch bei Gelegenheit die Hinweise durcharbeiten, wobei ich das meiste ohnehin beachte (Sicheres Browsen: normalerweise Chrome mit deaktiviertem Java-Script, Updates sowieso alle und regelmäßig) Ich tippe auf ein Download oder eine Seite, die ohne Java-Script nicht richtig funktioniert hat als Quelle - wird sich aber nicht mehr so genau heraus finden lassen. Die Tools werde ich mir noch anschauen. Viele Grüße Norman |
31.07.2012, 10:13 | #15 |
/// Selecta Jahrusso | There is an important Updates for Avira Free Antivirus is Read to Install. Froh das wir helfen konnten Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
Themen zu There is an important Updates for Avira Free Antivirus is Read to Install. |
anschluss, antivirus, avira, bho, boot-cd, cdburnerxp, einstellungen, entfernen, error, explorer, firefox, fontcache, format, google, google earth, helper, home, iexplore.exe, installation, internet browser, ntdll.dll, opera, plug-in, programme, registry, rundll, searchscopes, security, software, tcp, udp, updates, virtualbox, visual studio, windows internet, wlan, wrapper |