| |
| |||||||
Log-Analyse und Auswertung: Hermes_V01 :: Auch auf meinem Rechner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.08.2012, 19:25
| #1 |
| |  Hermes_V01 :: Auch auf meinem Rechner? Hallo zusammen, meine Bank hat mir mitgeteilt, dass über das Virus "Hermes_V01" meine Daten auszuspähen versucht worden sind. Auf der Arbeit wurde der Rechner gescannt und es wurden viele Funde ausfindig gemacht. Ebenso hatte der besagte Rechner das Symptom, Zertifikate nicht mehr zu akzeptieren. Daher gehe ich davon aus, dass dieser Rechner der Auslöser war. Mittlerweile ist dieser auch ausgetauscht worden. Nun zur Frage: Mein privater Rechner könnte theoretisch auch befallen sein. Allerdings weist er zumindest keinerlei Symptome auf. Ich möchte aber trotzdem auf Nummer sicher gehen. Ich habe die Anleitung der verschiedenen Tools befolgt und poste nun meine logfiles: OTLOTL Logfile: Code:
ATTFilter OTL logfile created on: 06.08.2012 22:05:30 - Run 1 OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\Christoph\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1014,20 Mb Total Physical Memory | 481,75 Mb Available Physical Memory | 47,50% Memory free 2,39 Gb Paging File | 1,90 Gb Available in Paging File | 79,54% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 141,05 Gb Total Space | 4,87 Gb Free Space | 3,45% Space Free | Partition Type: NTFS Computer Name: KROSTEN | User Name: Christoph | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.08.06 18:02:16 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christoph\Desktop\OTL.exe PRC - [2012.07.05 22:07:00 | 000,161,704 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.02 00:31:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.10.28 10:11:36 | 000,251,256 | ---- | M] (BUFFALO INC.) -- C:\Programme\BUFFALO\NASNAVI\nassvc.exe PRC - [2009.05.01 05:13:34 | 000,092,696 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\PersistenceThread.exe PRC - [2009.02.20 03:52:20 | 000,817,672 | ---- | M] (Dritek System Inc.) -- C:\Programme\Launch Manager\LManager.exe PRC - [2009.02.05 08:14:56 | 000,237,568 | ---- | M] (Acer Incorporated) -- C:\Programme\Acer\Acer VCM\RS_Service.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2012.04.16 23:11:02 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.08.28 23:19:12 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll MOD - [2009.08.16 18:06:02 | 000,141,312 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2012.07.28 11:21:30 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.07.05 22:07:00 | 000,161,704 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2012.06.19 17:32:30 | 003,048,136 | ---- | M] (Skype Technologies S.A.) [Disabled | Stopped] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012.05.03 08:31:10 | 000,158,856 | R--- | M] (Skype Technologies) [Disabled | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.10.24 22:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.10.28 10:11:36 | 000,251,256 | ---- | M] (BUFFALO INC.) [Auto | Running] -- C:\Programme\BUFFALO\NASNAVI\nassvc.exe -- (NasPmService) SRV - [2009.02.05 08:14:56 | 000,237,568 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Programme\Acer\Acer VCM\RS_Service.exe -- (RS_Service) SRV - [2006.08.20 23:43:44 | 000,499,712 | ---- | M] (Ron Pedde) [Disabled | Stopped] -- C:\Programme\Firefly Media Server\firefly.exe -- (Firefly Media Server) SRV - [2005.08.02 23:18:49 | 000,086,016 | ---- | M] (CACE Technologies) [On_Demand | Stopped] -- C:\Programme\WinPcap\rpcapd.exe -- (rpcapd) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfSysMon.sys -- (TfSysMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfFsMon.sys -- (TfFsMon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (antp1yol) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.10 20:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\SAS_SelfExtract\saskutil.sys -- (SASKUTIL) DRV - [2010.02.17 20:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\SAS_SelfExtract\sasdifsv.sys -- (SASDIFSV) DRV - [2009.12.16 00:32:58 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) DRV - [2009.10.02 01:41:44 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\taphss.sys -- (taphss) DRV - [2009.04.16 05:10:06 | 000,132,480 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2009.03.24 13:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2009.03.12 09:55:32 | 000,164,864 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtsUStor.sys -- (RSUSBSTOR) DRV - [2008.12.30 04:02:32 | 001,346,464 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008.11.07 06:03:18 | 000,008,064 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhsser.sys -- (GTUHSSER) DRV - [2008.11.07 05:58:56 | 000,105,984 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhs51.sys -- (GTUHSNDISIPXP) DRV - [2008.11.07 05:57:38 | 000,062,592 | ---- | M] (Option N.V.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gtuhsbus.sys -- (GTUHSBUS) DRV - [2008.10.08 07:15:12 | 000,025,216 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901) DRV - [2008.08.05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008.04.14 14:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm) DRV - [2006.01.04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2005.08.02 23:10:13 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1009&m=ao751h IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1009&m=ao751h IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1009&m=ao751h IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1009&m=ao751h IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google.de" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "google.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..network.proxy.http: "84.41.108.74" FF - prefs.js..network.proxy.http_port: 8080 FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co" FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8051.1204: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll ( ) FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.28 11:21:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.06.16 18:24:51 | 000,000,000 | ---D | M] [2009.10.18 15:42:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Extensions [2012.07.31 08:32:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\extensions [2012.07.28 11:21:47 | 000,000,000 | ---D | M] (FireShot) -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba} [2010.04.27 22:41:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.06.29 21:11:42 | 000,002,101 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\searchplugins\googlede.xml [2010.09.15 21:55:34 | 000,002,740 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\searchplugins\imdb.xml [2010.11.04 23:19:00 | 000,005,389 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\searchplugins\ofdb.xml [2010.11.18 22:53:50 | 000,001,330 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\searchplugins\wikipedia-en.xml [2010.07.05 21:21:54 | 000,002,057 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\w1uh29o0.default\searchplugins\youtube-videosuche.xml [2012.05.23 08:48:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.06.23 15:41:05 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2011.10.28 19:20:51 | 000,088,244 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTOPH\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\W1UH29O0.DEFAULT\EXTENSIONS\SENDTOPHONE@MARTINEZDELIZARRONDO.COM.XPI [2012.07.29 14:24:22 | 000,184,864 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTOPH\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\W1UH29O0.DEFAULT\EXTENSIONS\STEALTHYEXTENSION@GMAIL.COM.XPI [2012.07.28 11:21:31 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.11.10 06:54:13 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.06.24 20:23:33 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.06.24 20:23:33 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.06.24 20:23:33 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.06.24 20:23:33 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.24 20:23:33 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.24 20:23:33 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.) O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [PersistenceThread] C:\WINDOWS\system32\PersistenceThread.exe (Intel Corporation) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe File not found O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\Run: [Facebook Update] C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acer VCM.lnk = C:\Programme\Acer\Acer VCM\AcerVCM.exe (Acer Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\Christoph\Startmenü\Programme\Autostart\BUFFALO NAS Navigator2.lnk = C:\Programme\BUFFALO\NASNAVI\NasNavi.exe (BUFFALO INC.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.3 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4D53A71F-4505-49CE-BC91-C5D8D1A8225B}: DhcpNameServer = 192.168.0.3 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\igdlogin: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.15 05:43:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\AutoRun\command - "" = D:\UDRI\\\\\\\\\\MUJO.exe O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\explore\command - "" = D:\UDRI\\\\\\\\\\\\MUJO.exe O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\open\command - "" = D:\UDRI\\\\\\\\\\\\MUJO.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O35 - HKCU\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKCU\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.08.06 21:52:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\schutz [2012.08.06 18:02:16 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christoph\Desktop\OTL.exe [2012.08.05 18:02:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Sun [2012.08.05 17:51:57 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2012.08.05 17:51:05 | 000,000,000 | ---D | C] -- C:\Programme\Oracle [2012.08.05 17:50:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Oracle [2012.08.05 12:42:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\Wege zum Ruhm [2012.08.05 12:31:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\Zeiten.des.Aufruhrs [2012.08.05 12:18:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\Blue Valentine [2012.07.29 16:39:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\fb [2012.07.29 16:19:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Desktop\Dänemark 2012 [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.08.06 22:02:23 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.08.06 22:02:10 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.08.06 22:02:08 | 1063,538,688 | -HS- | M] () -- C:\hiberfil.sys [2012.08.06 21:57:40 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\defogger_reenable [2012.08.06 21:35:10 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.08.06 21:19:06 | 000,001,244 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005UA.job [2012.08.06 18:02:16 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christoph\Desktop\OTL.exe [2012.08.06 17:55:10 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.08.05 15:19:28 | 000,001,222 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005Core.job [2012.08.05 14:47:39 | 000,069,990 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Desktop\bookmarks-2012-08-05.json [2012.07.20 21:07:32 | 000,112,128 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.17 18:11:00 | 001,229,540 | ---- | M] () -- C:\Dokumente und Einstellungen\Christoph\Desktop\IMAG1130.jpg [2012.07.17 17:53:06 | 000,270,192 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.15 13:20:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.07.11 17:58:35 | 000,000,211 | RHS- | M] () -- C:\boot.ini [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.08.06 21:57:11 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Christoph\defogger_reenable [2012.08.05 14:47:37 | 000,069,990 | ---- | C] () -- C:\Dokumente und Einstellungen\Christoph\Desktop\bookmarks-2012-08-05.json [2012.07.17 18:10:58 | 001,229,540 | ---- | C] () -- C:\Dokumente und Einstellungen\Christoph\Desktop\IMAG1130.jpg [2012.02.15 21:07:30 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.02.08 23:36:44 | 000,000,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\wklnhst.dat [2011.07.20 03:09:24 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.01.22 14:08:19 | 000,015,022 | ---- | C] () -- C:\WINDOWS\UN060501.INI [2009.10.25 11:26:14 | 000,112,128 | ---- | C] () -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== LOP Check ========== [2009.04.15 07:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acer GameZone Console [2012.06.07 17:17:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess [2009.12.16 00:32:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2011.05.22 17:43:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2009.04.15 07:53:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eSobi [2010.07.20 00:06:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hitman Pro [2010.07.12 19:39:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky SDK [2011.07.04 21:47:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan [2011.08.20 03:32:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp [2012.02.21 18:48:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2009.04.15 07:54:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Acer [2009.04.15 07:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Acer GameZone Console [2010.07.10 14:54:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Amazon [2010.07.12 19:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\CheckPoint [2009.12.16 00:36:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\DAEMON Tools Lite [2012.03.20 20:50:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\elsterformular [2010.06.14 22:08:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Facebook [2012.06.10 14:12:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\FileZilla [2012.06.02 10:40:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\FireShot [2010.07.20 00:10:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\GetRightToGo [2010.07.25 19:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\mkvtoolnix [2009.11.09 22:24:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mp3tag [2011.01.22 14:10:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\NASNaviator2 [2011.09.07 06:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\NeatImage SL [2010.03.07 14:14:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\OpenOffice.org [2012.08.05 17:50:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Oracle [2012.02.08 23:36:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Template [2012.08.05 15:19:28 | 000,001,222 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005Core.job [2012.08.06 21:19:06 | 000,001,244 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005UA.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:1AE68282 @Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2 < End of report > ExtrasOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.08.2012 22:05:30 - Run 1
OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\Christoph\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1014,20 Mb Total Physical Memory | 481,75 Mb Available Physical Memory | 47,50% Memory free
2,39 Gb Paging File | 1,90 Gb Available in Paging File | 79,54% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 141,05 Gb Total Space | 4,87 Gb Free Space | 3,45% Space Free | Partition Type: NTFS
Computer Name: KROSTEN | User Name: Christoph | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"9998:UDP" = 9998:UDP:*:Enabled:firefly
"9000:TCP" = 9000:TCP:*:Enabled:SlimServer 9000 tcp
"3483:UDP" = 3483:UDP:*:Enabled:SlimServer 3483 udp
"3483:TCP" = 3483:TCP:*:Enabled:SlimServer 3483 tcp
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\Avira\AntiVir Desktop\avcenter.exe" = C:\Programme\Avira\AntiVir Desktop\avcenter.exe:*:Enabled:AntiVir starten -- (Avira Operations GmbH & Co. KG)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Firefly Media Server\firefly.exe" = C:\Programme\Firefly Media Server\firefly.exe:*:Enabled:Firefly Media Server -- (Ron Pedde)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Programme\OpenVPN\bin\openvpn.exe" = C:\Programme\OpenVPN\bin\openvpn.exe:*:Enabled:openvpn
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Facebook\Video\Skype\FacebookVideoCalling.exe" = C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Facebook\Video\Skype\FacebookVideoCalling.exe:*:Enabled:Facebook Video Calling Plugin -- (Skype Limited)
"C:\Programme\BUFFALO\NASNAVI\NasNavi.exe" = C:\Programme\BUFFALO\NASNAVI\NasNavi.exe:*:Enabled:NASNaviator2 -- (BUFFALO INC.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{047F790A-7A2A-4B6A-AD02-38092BA63DAC}" = Acer VCM
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v1.5.2.3456
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java(TM) 7 Update 5
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Driver Installation Program
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{62F7DA7E-CCCB-439C-A760-00C3926E761F}" = Microsoft Works
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71C2828F-2678-4675-BDEC-895424861262}_is1" = C:\Programme\Acer GameZone\GameConsole
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7CAC6A44-C3DE-4153-ACA6-7524602C789E}" = Facebook Video Calling 1.2.0.159
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110111700}" = Zuma Deluxe
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11037623}" = Tradewinds 2
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111125700}" = Rainbow Web
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11231247}" = Peggle
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113784233}" = Home Sweet Home
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = USB2.0 Card Reader Software
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}" = Acer Crystal Eye webcam 2.2.0.2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DA20E1A8-07CB-4EE7-9B72-A7E28C953F0E}" = Acer Product Registration
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"Acer Screensaver" = Acer ScreenSaver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Ant Renamer 2_is1" = Ant Renamer
"Avira AntiVir Desktop" = Avira Free Antivirus
"DivX Setup.divx.com" = DivX-Setup
"ElsterFormular für Privatanwender 12.2.0.6412p" = ElsterFormular für Privatanwender
"FileZilla Client" = FileZilla Client 3.5.1
"Firefly Media Server" = Firefly Media Server
"HitmanPro35" = Hitman Pro 3.5
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"JDownloader" = JDownloader
"LManager" = Launch Manager
"LPCO" = Intel(R) Graphics Media Accelerator 500
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Megarace_is1" = Megarace
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MKVtoolnix" = MKVtoolnix 4.1.1
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Mp3tag" = Mp3tag v2.44
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Neat Image_is1" = Neat Image v6 Demo (with plug-in)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"POD GOLD_is1" = POD GOLD
"Roku Radio Snooper_is1" = RokuRadioSnooper v2.10.06
"SUPER ©" = SUPER © Version 2010.bld.38 (May 2, 2010)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"UN060501" = BUFFALO NAS Navigator2
"VLC media player" = VLC media player 1.1.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinPcapInst" = WinPcap 3.1
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Facebook Plug-In" = Facebook Plug-In
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 07.06.2012 11:14:35 | Computer Name = KROSTEN | Source = Bonjour Service | ID = 100
Description = 396: ERROR: read_msg errno 10053 (Eine bestehende Verbindung wurde
softwaregesteuert durch den Hostcomputer abgebrochen.)
Error - 11.06.2012 12:13:38 | Computer Name = KROSTEN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 12.3.0.15, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 11.06.2012 15:30:59 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dosbox.exe, Version 0.72.0.0, fehlgeschlagenes
Modul dosbox.exe, Version 0.72.0.0, Fehleradresse 0x000df0e2.
Error - 11.06.2012 15:56:05 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dosbox.exe, Version 0.72.0.0, fehlgeschlagenes
Modul dosbox.exe, Version 0.72.0.0, Fehleradresse 0x00087094.
Error - 25.06.2012 18:46:21 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung FlashPlayerUpdateService.exe, Version 11.3.300.262,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x000113c0.
Error - 02.07.2012 15:46:44 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung FlashPlayerUpdateService.exe, Version 11.3.300.262,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x000113c0.
Error - 02.07.2012 17:46:26 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung FlashPlayerUpdateService.exe, Version 11.3.300.262,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x000113c0.
Error - 03.07.2012 16:46:20 | Computer Name = KROSTEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung FlashPlayerUpdateService.exe, Version 11.3.300.262,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x000113c0.
Error - 06.08.2012 12:19:07 | Computer Name = KROSTEN | Source = Google Update | ID = 20
Description =
Error - 06.08.2012 15:19:06 | Computer Name = KROSTEN | Source = Google Update | ID = 20
Description =
[ System Events ]
Error - 30.07.2012 11:33:35 | Computer Name = KROSTEN | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
Transaktion durchzuführen.
Error - 30.07.2012 11:34:11 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 31.07.2012 02:29:43 | Computer Name = KROSTEN | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
Transaktion durchzuführen.
Error - 31.07.2012 02:30:14 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 31.07.2012 12:48:54 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 31.07.2012 14:11:48 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 01.08.2012 11:51:25 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 05.08.2012 06:00:55 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 06.08.2012 11:56:01 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 06.08.2012 16:02:58 | Computer Name = KROSTEN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
< End of report >
GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-07 00:10:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS545016B9A300 rev.PBBOC60F
Running: lj8l0n8z.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kgddqpoc.sys
---- System - GMER 1.0.15 ----
SSDT F7B45E24 ZwClose
SSDT F7B45DDE ZwCreateKey
SSDT F7B45E2E ZwCreateSection
SSDT F7B45DD4 ZwCreateThread
SSDT F7B45DE3 ZwDeleteKey
SSDT F7B45DED ZwDeleteValueKey
SSDT F7B45E1F ZwDuplicateObject
SSDT F7B45DF2 ZwLoadKey
SSDT F7B45DC0 ZwOpenProcess
SSDT F7B45DC5 ZwOpenThread
SSDT F7B45E47 ZwQueryValueKey
SSDT F7B45DFC ZwReplaceKey
SSDT F7B45E38 ZwRequestWaitReplyPort
SSDT F7B45DF7 ZwRestoreKey
SSDT F7B45E33 ZwSetContextThread
SSDT F7B45E3D ZwSetSecurityObject
SSDT F7B45DE8 ZwSetValueKey
SSDT F7B45E42 ZwSystemDebugControl
SSDT F7B45DCF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504870 4 Bytes CALL 9347FCD2
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x68 0x62 0xAB 0x6C ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x80 0x41 0x8E 0x32 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2E 0x41 0xB2 0x9B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x68 0x62 0xAB 0x6C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x80 0x41 0x8E 0x32 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2E 0x41 0xB2 0x9B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x68 0x62 0xAB 0x6C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x80 0x41 0x8E 0x32 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2E 0x41 0xB2 0x9B ...
---- EOF - GMER 1.0.15 ----
Und abschließend noch vom Avira-Scan: Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 6. August 2012 18:04 Es wird nach 4068410 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Microsoft Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Christoph Computername : KROSTEN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48 AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50 LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36 AVREG.DLL : 12.3.0.17 232200 Bytes 24.05.2012 17:12:21 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:43:24 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:43:24 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:43:24 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:43:24 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:43:24 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:43:24 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:43:24 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:43:24 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:43:24 VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 16:53:35 VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 16:53:35 VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 10:05:19 VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 15:55:38 VBASE018.VDF : 7.11.38.222 2048 Bytes 06.08.2012 15:55:38 VBASE019.VDF : 7.11.38.223 2048 Bytes 06.08.2012 15:55:38 VBASE020.VDF : 7.11.38.224 2048 Bytes 06.08.2012 15:55:38 VBASE021.VDF : 7.11.38.225 2048 Bytes 06.08.2012 15:55:38 VBASE022.VDF : 7.11.38.226 2048 Bytes 06.08.2012 15:55:38 VBASE023.VDF : 7.11.38.227 2048 Bytes 06.08.2012 15:55:38 VBASE024.VDF : 7.11.38.228 2048 Bytes 06.08.2012 15:55:38 VBASE025.VDF : 7.11.38.229 2048 Bytes 06.08.2012 15:55:38 VBASE026.VDF : 7.11.38.230 2048 Bytes 06.08.2012 15:55:38 VBASE027.VDF : 7.11.38.231 2048 Bytes 06.08.2012 15:55:38 VBASE028.VDF : 7.11.38.232 2048 Bytes 06.08.2012 15:55:38 VBASE029.VDF : 7.11.38.233 2048 Bytes 06.08.2012 15:55:38 VBASE030.VDF : 7.11.38.234 2048 Bytes 06.08.2012 15:55:38 VBASE031.VDF : 7.11.38.246 62976 Bytes 06.08.2012 15:55:38 Engineversion : 8.2.10.126 AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 15:53:24 AESCRIPT.DLL : 8.1.4.38 455033 Bytes 05.08.2012 10:05:24 AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 21:16:39 AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32 AEPACK.DLL : 8.3.0.18 807287 Bytes 28.07.2012 09:00:10 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 20.07.2012 16:37:39 AEHEUR.DLL : 8.1.4.84 5112182 Bytes 05.08.2012 10:05:23 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 16:56:35 AEGEN.DLL : 8.1.5.34 434548 Bytes 20.07.2012 16:37:32 AEEXP.DLL : 8.1.0.74 86387 Bytes 05.08.2012 10:05:24 AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 15:53:20 AECORE.DLL : 8.1.27.2 201078 Bytes 11.07.2012 15:53:20 AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28 AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21 AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31 AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35 AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49 SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35 NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51 RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 6. August 2012 18:04 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'NasNavi.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'RS_Service.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'AcerVCM.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'nassvc.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'PersistenceThread.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '174' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Programme\MP3Gain\uninst-mp3gain.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '2381' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\91490a2-1cda26cb [0] Archivtyp: ZIP --> json/Option.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Tequari.Gen --> json/Parser.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840 --> json/ThreadParser.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.GH --> json/XML.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FL C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\326V3HeJ.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\dzLkHtbd.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\IHXWP6Kn.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache1880002719358576250.tmp [0] Archivtyp: ZIP --> gae.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840 --> odfgh4.class [FUND] Ist das Trojanische Pferd TR/Agent.210.3 C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache3981786484150706066.tmp [0] Archivtyp: ZIP --> google/monter.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Stanig.Gen --> google/nterhoop.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GH --> google/openlir.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DK C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache4160485638504749780.tmp [0] Archivtyp: ZIP --> fernand.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842 C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache6517437625128006433.tmp [0] Archivtyp: ZIP --> gut.class [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.DZ C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\MAR1AVMh.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\MooQyiz2.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\snWHf7HB.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\T0x9SO1H.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\WaU_MCql.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\xGdJidgk.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Y1A9YEg_.rar.part [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4L2TK3ID\wiki[1].zip [WARNUNG] Unerwartetes Dateiende erreicht C:\Programme\MP3Gain\uninst-mp3gain.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Programme\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache6517437625128006433.tmp [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.DZ [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5227bb5d.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache4160485638504749780.tmp [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab094fa.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache3981786484150706066.tmp [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DK [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '18efce12.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\jar_cache1880002719358576250.tmp [FUND] Ist das Trojanische Pferd TR/Agent.210.3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ed881d0.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\91490a2-1cda26cb [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FL [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3b9aacbe.qua' verschoben! Ende des Suchlaufs: Montag, 6. August 2012 21:48 Benötigte Zeit: 1:47:17 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 14399 Verzeichnisse wurden überprüft 383828 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 383817 Dateien ohne Befall 9378 Archive wurden durchsucht 14 Warnungen 5 Hinweise 400703 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Vielen Dank an diejenigen, die sich das hier anschauen. |
|
08.08.2012, 02:44
| #2 |
| /// Helfer-Team  | Hermes_V01 :: Auch auf meinem Rechner? Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID)
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfSysMon.sys -- (TfSysMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon)
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfFsMon.sys -- (TfFsMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (antp1yol)
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.selectedEngine: "Google.de"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..network.proxy.http: "84.41.108.74"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe File not found
O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O20 - Winlogon\Notify\igdlogin: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.15 05:43:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{cb1c4115-e059-11de-92ea-00265e183766}\Shell\AutoRun\command - "" = D:\UDRI\\\\\\\\\\MUJO.exe
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2012.07.11 17:58:35 | 000,000,211 | RHS- | M] () -- C:\boot.ini
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:1AE68282
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2
[2012.08.06 22:02:23 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.06 21:35:10 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.06 21:19:06 | 000,001,244 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005UA.job
[2012.08.05 15:19:28 | 000,001,222 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2541319435-247674877-3292285946-1005Core.job
[2012.06.07 17:17:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________ |
|
08.08.2012, 17:24
| #3 |
| | Hermes_V01 :: Auch auf meinem Rechner? Hallo und danke, dass Du dich meiner annimmst. Ich habe deinen Fix in OTL eingefügt, ausgeführt und ein Neustart wurde angefordert. Den habe ich ausgeführt und bekomme nun, bevor Windows laden kann, die Meldung:
__________________Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist: <Windows root>\system32\hal.dll Installieren SIe ein Exemplar der oben angegebenen Datei erneut. Da ist wohl was schief gelaufen? Eine Frage aber noch zusätzlich: Konnte man in den Logs denn sehen, ob ich den HErmes_V01 hatte/habe? Vielen Dank für weitere Hilfe! |
|
08.08.2012, 19:43
| #4 |
| /// Helfer-Team | Hermes_V01 :: Auch auf meinem Rechner? Das verschwinden der DLL hat nichts mir dem Fix zutun. Um das zu beheben: Du bootest von der XP-CD. Dann folgst du zunächst den Anweisungen solange, bis du zu einer Auswahl kommst, wo auch die Möglichkeit besteht, die sog. Reparatur-Konsole aufzurufen. Das tust du, wählst dort dein Windows-System an und hast nun die Möglichkeit, mit dem Konsolen-Befehl copy die beschädigte Datei durch eine auf der CD auszutauschen. Dafür ist folgender Befehl einzugeben : copy x:\i386\hal.dl_ c:\windows\system32 [Man beachte den Unterstrich in der Quelldatei] x: ist dabei ein Stellvertreter für den Laufwerksbuchstaben deines verwendeten CD-ROM-Laufwerks. |
|
08.08.2012, 20:12
| #5 |
| | Hermes_V01 :: Auch auf meinem Rechner? Hmm, das ist aber schon kurios, da vorher ja der Rechner funktioniert hat. Da ich ein Netbook ohne CD Laufwerk habe, wird der von Dir vorgeschlagene Weg so nicht funktionieren. Ich weiß, dass ich in die Recoverypartition und das System auf den Ursprungszustand setzen kann. Das wäre aber schade, weil ich mir ja dann den vorherigen Aufwand wahrscheinlich hätte sparen können? Komme ich denn irgendwie anders noch an die Reparatur-Konsole? Ach, und kannst Du mir noch sagen, ob man erkennen konnte, ob auf diesem Rechner der Hermes_V01 tatsächlich drauf war? Vielen lieben Dank. |
|
08.08.2012, 20:28
| #6 | ||||
| /// Helfer-Team | Hermes_V01 :: Auch auf meinem Rechner?Zitat:
Zitat:
Kannst einen Linux-Usb-Stick erstellen und dami die Datei auf deine Platte bringen. Zitat:
Zitat:
__________________ --> Hermes_V01 :: Auch auf meinem Rechner? |
|
08.08.2012, 20:47
| #7 |
| | Hermes_V01 :: Auch auf meinem Rechner? Hello und Danke für Deine Antwort! Ja, der Avira-Echtzeit-Scanner war auf "Aus". F8 beim Booten bringt "zuletzt funktionierende Konfiguration wiederherstellen" etc. Leider keinen Punkt mit der Reparaturkonsole. Ach ok, schade, dass ich dafür jetzt diese Windowsinstallation wieder zum Laufen bringen müsste, um zu sehen, ob ich wirklich infiziert war. Ich glaube leider, dass ich die Wiederherstellungspartition wieder aufspielen muss, trotz deines Links (Danke!). Denn ich habe keine Windows XP CD. Die NEtbooks werden ja alle ohne ausgeliefert. Doof :-( |
|
09.08.2012, 08:38
| #8 |
| /// Helfer-Team | Hermes_V01 :: Auch auf meinem Rechner? Was passiert, wenn du "zuletzt funktionierende Konfiguration wiederherstellen" auswaehlst? |
|
09.09.2012, 02:25
| #9 |
| /// Helfer-Team | Hermes_V01 :: Auch auf meinem Rechner? Fehlende Rückmeldung Gibt es Probleme beim Abarbeiten obiger Anleitung? Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen. Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema. http://www.trojaner-board.de/69886-a...-beachten.html Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist. |
|
| Themen zu Hermes_V01 :: Auch auf meinem Rechner? |
| antivir, avira, bho, bonjour, dllhost.exe, error, firefox, flash player, frage, google earth, helper, hermes_v01, home, installation, jdownloader, kaspersky, launch, limited.com/facebook, mozilla, mp3, ntdll.dll, plug-in, prozesse, realtek, registry, rundll, security, server, software, starten, svchost.exe, verweise, virus, warnung, windows internet, zertifikate |
Linear-Darstellung
