| |
| |||||||
Log-Analyse und Auswertung: GVU Trojaner / Infizierung / LogfilesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.10.2012, 13:55
| #1 |
| |  GVU Trojaner / Infizierung / Logfiles Moin zusammen, auch mich hat es leider erwischt. Der Kaspersky Windowsunlocker hatte leider keinen Erfolg. Nun habe ich die Schritte des folgenden Posts abgearbeitet: http://www.trojaner-board.de/69886-a...-beachten.html Im Anhang die Logfiles...hoffentlich vollständig und mit allen benötigten Daten. Für Eure Hilfe schon einmal vielen Dank im voraus!! Viele Grüße, Michael |
|
14.10.2012, 20:46
| #2 |
| /// Malwareteam   | GVU Trojaner / Infizierung / Logfiles Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld 
__________________ |
|
15.10.2012, 13:56
| #3 | |
| /// Malwareteam | GVU Trojaner / Infizierung / Logfiles Hallo und
__________________Ich bin Christoph und möchte dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort
__________________ |
|
15.10.2012, 14:38
| #4 |
| | GVU Trojaner / Infizierung / Logfiles Moin Christoph, vielen Dank für die Hilfe!! ComboFix ist erflogreich durchgelaufen. Hier der Inhalt der ComboFix.txt Combofix Logfile: Code:
ATTFilter ComboFix 12-10-14.03 - Horst 15.10.2012 15:12:18.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.49.1031.18.1790.872 [GMT 2:00]
ausgeführt von:: c:\users\Horst\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\87_fg.pad
c:\users\Horst\Babylon7_setup_eng_ger_eng.exe
c:\windows\IsUn0407.exe
c:\windows\system32\SET8DE9.tmp
c:\windows\unin0407.exe
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-09-15 bis 2012-10-15 ))))))))))))))))))))))))))))))
.
.
2012-10-15 13:19 . 2012-10-15 13:24 -------- d-----w- c:\users\Horst\AppData\Local\temp
2012-10-15 13:19 . 2012-10-15 13:19 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-14 10:28 . 2012-10-14 10:28 -------- d-----w- c:\users\Horst\AppData\Roaming\Malwarebytes
2012-10-14 10:08 . 2012-10-14 10:08 -------- d-----w- c:\programdata\Malwarebytes
2012-10-14 10:08 . 2012-10-14 10:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-10-14 10:08 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-12 14:42 . 2012-10-12 14:42 -------- d-----w- C:\found.000
2012-10-03 12:07 . 2012-10-03 12:07 -------- d-----w- c:\program files\SiteRanker
2012-10-03 12:05 . 2012-10-03 12:05 -------- d-----w- c:\program files\Inbox Toolbar
2012-10-01 07:23 . 2012-10-01 07:23 -------- d-----w- c:\windows\Sun
2012-10-01 07:23 . 2012-10-01 07:23 -------- d-----w- c:\users\Horst\AppData\Roaming\Haufe
2012-10-01 07:23 . 2012-10-01 07:23 -------- d-----w- c:\users\Horst\AppData\Local\Haufe
2012-10-01 07:16 . 2012-10-01 07:18 -------- d-----w- c:\programdata\Lexware
2012-10-01 07:16 . 2012-10-01 07:16 -------- d-----w- c:\programdata\BTrieve
2012-10-01 07:16 . 2012-10-01 07:16 -------- d-----w- c:\program files\Lexware
2012-10-01 07:14 . 2012-10-01 07:14 86016 ----a-r- c:\users\Horst\AppData\Roaming\Microsoft\Installer\{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}\ARPPRODUCTICON.exe
2012-10-01 07:13 . 2012-10-01 07:13 -------- d-----w- c:\program files\Haufe
2012-10-01 07:13 . 2012-10-01 07:13 -------- d-----w- c:\programdata\Haufe
2012-10-01 07:13 . 2007-07-12 00:22 69632 ----a-w- c:\windows\system32\javacpl.cpl
2012-10-01 07:12 . 2012-10-01 07:13 -------- d-----w- c:\program files\Java
2012-10-01 07:12 . 2012-10-01 07:12 -------- d-----w- c:\program files\Common Files\Java
2012-10-01 07:06 . 2012-10-01 07:06 -------- d-----w- c:\program files\Microsoft
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-30 08:17 . 2012-10-09 08:42 6980552 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{6FDF7213-4007-44CA-9CF8-D438BB622116}\mpengine.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}]
2012-09-04 06:15 343296 ----a-w- c:\progra~1\SITERA~1\SiteRank.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62EC836-BF1E-4CAC-81BE-FB9179835D8E}]
2010-02-18 07:37 221184 ----a-w- c:\program files\Family Toolbar\mhxpcomi.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-10 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"S3Trayp"="S3trayp.exe" [2006-12-15 176128]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe" [2007-01-02 471040]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-12 155648]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"MBBalloon"="c:\program files\HOTALBUMMyBOX\MBBalloon.exe" [2007-12-21 791392]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrayServer"="c:\progra~1\MAGIX\FILME_~1\TrayServer.exe" [2008-01-17 90112]
"NokiaMusic FastStart"="c:\program files\Nokia\Nokia Music Player\NokiaMusicPlayer.exe" [2011-10-21 2193000]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"InboxToolbar"="c:\program files\Inbox Toolbar\Inbox.exe" [2012-09-20 1661144]
"SiteRanker"="c:\program files\SiteRanker\SiteRankTray.exe" [2012-09-04 320000]
.
c:\users\Horst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Lotus Organizer EasyClip.lnk - c:\program files\lotus\organize\easyclip6.exe [1999-9-15 229432]
PC sync Quick Data Copy.lnk - c:\pcsync\QDCTRAY.EXE [2007-9-16 28672]
PMB Medien-Prüfung.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-7-6 333088]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Photo Loader resident.lnk - c:\program files\CASIO\Photo Loader\Plauto.exe [2007-9-16 217088]
Telefonauskunft für den PC 2005 - Schnellstarter.lnk - c:\program files\Telefonauskunft für den PC\Telefonauskunft für den PC 2005\KSTART32.EXE [2007-9-16 437760]
wissen.de kit.lnk - c:\program files\connex software GmbH\wissen.de kit\kit.exe [2008-11-1 1960960]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-05-28 06:27 570664 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-09-10 19:04 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2310108276-4256975300-3386034454-1000]
"EnableNotificationsRef"=dword:00000001
.
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [x]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
HsfXAudioService REG_MULTI_SZ HsfXAudioService
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-08 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-09-12 17:34]
.
2012-10-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 18:01]
.
2012-10-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 18:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
IE: wissen.de kit - c:\progra~1\CONNEX~1\WISSEN~1.DEK\kit.htm
IE: {{B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\program files\lotus\organize\bandobjs.dll
TCP: DhcpNameServer = 192.168.1.1
Handler: mhtb - {669A2A3A-F19C-452D-800D-1240299756C1} - c:\program files\Family Toolbar\mhxpcomi.dll
.
.
------- Dateityp-Verknüpfung -------
.
vbefile\shell\open2\command="%SystemRoot%\System32\CScript.exe" "%1" %*
vbsfile\shell\open2\command="%SystemRoot%\System32\CScript.exe" "%1" %*
jsefile\shell\open2\command=%SystemRoot%\System32\CScript.exe "%1" %*
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Device Detection - c:\program files\Lidl_Fotos\dd.exe
AddRemove-AGFINSTALL - c:\windows\agfclean
AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-10-15 15:28
Windows 6.0.6000 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1????????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:00000042
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\AUDIODG.EXE
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\System32\s3trayp.exe
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\IoctlSvc.exe
c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-15 15:33:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-10-15 13:33
.
Vor Suchlauf: 15 Verzeichnis(se), 12.319.088.640 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 14.691.020.800 Bytes frei
.
- - End Of File - - 4DB9D029EAAA13AB1CE72E3856FEB797
Liest sich ja nicht so sooo schlecht, aber ich bin gespannt was Du sagst... Danke und Gruß, Michael |
|
15.10.2012, 15:42
| #5 |
| /// Malwareteam | GVU Trojaner / Infizierung / Logfiles Hi Michael sieht gut aus, sind aber noch Reste übrig.
Code:
ATTFilter :reg
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=dword:0x1
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-2310108276-4256975300-3386034454-1000]
"EnableNotifications" =dword:0x1
:Commands
[emptytemp]
Schritt 2 Malwarebytes
Schritt 3 ESET Online Scanner
Schritt 4 Starte bitte die OTL.exe. Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button. Poste die OTL.txt und die Extras.txt hier in deinen Thread. Bitte poste in deiner nächsten Antwort
__________________ Keep Jazzing!  DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
|
16.10.2012, 07:05
| #6 |
| | GVU Trojaner / Infizierung / Logfiles Moin Christoph, ales klar...hat geklappt...auf in die nächste Runde ;-) Ich mußte die Dateien wieder als Archiv anhängen. ESET hat nichts gefunden, daher wurde mir kein Report angeboten(screenshot mit im Arschiv). Was meinst Du? Tausend Dank und viele Grüße, Michael |
|
16.10.2012, 15:32
| #7 |
| /// Malwareteam | GVU Trojaner / Infizierung / Logfiles Hi Michael Du hast auf deinem System seit längerer Zeit keine Updates eingespielt, das müssen wir jetzt nachholen. Schritt 1
Schritt 2
Installiere alle angebotenen Updates. Schritt 3 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 5 Adobe-Reader-Update
Schritt 6
Schritt 7 Deine Version von Avira ist veraltet.
Schritt 8 Starte bitte die OTL.exe. Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button. Poste die OTL.txt und die Extras.txt hier in deinen Thread. Bitte poste in deiner nächsten Antwort
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
|
17.10.2012, 22:01
| #8 |
| | GVU Trojaner / Infizierung / Logfiles Moin Christoph, ich sollte wohl wirklich mehr auf die Updates achten :-/ Die Schritte wurden alle befolgt...Logs im Anhang. DANKE...mal wieder...! Viele Grüße, Michael |
|
18.10.2012, 17:41
| #9 |
| /// the machine /// TB-Ausbilder    | GVU Trojaner / Infizierung / Logfiles Hi, ich übernehme ab hier, da DerJazzer sehr beschäftigt ist im Moment. Bitte poste die Logfiles in den Thread, nicht anhängen, und teile mir mit ob Du noch Probleme hast.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
18.10.2012, 17:56
| #10 | |
| | GVU Trojaner / Infizierung / Logfiles Moin schrauber, es sind zu viele Zeichen um es in Threads zu verpacken, daher habe ich dem Forum-Hinweis folge geleistet... Zitat:
Die OTL alleine hat schon über 120.000 Zeichen. Probleme gibt es keine mehr. Scheint alles hervorragend geklappt zu haben. Sorry für die Umstände! Danke und Gruß, Michael |
|
18.10.2012, 18:03
| #11 |
| /// the machine /// TB-Ausbilder | GVU Trojaner / Infizierung / Logfiles Adwcleaner öffnen > uninstall Dann AdwCleaner neu laden und suchen lassen, danach löschen lassen. Dann bitte ein frisches OTL logfile, einfach Quick scan klicken. Die 3 Logfiles sollten klein genug sein um sie einzeln im Thread zu posten
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
19.10.2012, 17:21
| #12 | |
| | GVU Trojaner / Infizierung / Logfiles Moin schrauber, OK...also bei Quickscan bekomme ich keine Extras.txt. Daher habe ich auch noch mal einen "Scan" durchgeführt. Die OTL Dateien sind bei beiden Scans (Quickscan und "normaler" Scan) über 120.000 Zeichen lang und können hier nicht gepostet werden. Daher leider erneut als Anhang. Hier die AdwCleaner[S1] Zitat:
OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 19.10.2012 17:51:02 - Run 5
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Horst\Desktop
Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,75 Gb Total Physical Memory | 0,94 Gb Available Physical Memory | 53,87% Memory free
3,72 Gb Paging File | 2,65 Gb Available in Paging File | 71,45% Paging File free
Paging file location(s): d:\pagefile.sys 0 0 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 92,21 Gb Total Space | 12,68 Gb Free Space | 13,75% Space Free | Partition Type: NTFS
Drive D: | 45,12 Gb Total Space | 3,31 Gb Free Space | 7,34% Space Free | Partition Type: NTFS
Computer Name: HORST-PC | User Name: Horst | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-2310108276-4256975300-3386034454-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10C7E70B-4D7F-4F0D-8D5A-4FF143EF0023}" = lport=0 | protocol=6 | dir=in | name=magix upnp media server |
"{136F02DF-44FF-458C-B9C5-E1D34AA8B051}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{207AC436-3E0B-4EC1-B529-917287767E4B}" = lport=2869 | protocol=6 | dir=in | app=system |
"{2C0DC0BA-865A-445D-8606-832127A6ABE5}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{3256CA43-A42E-4F7F-9DFB-52A599568045}" = lport=139 | protocol=6 | dir=in | app=system |
"{389A5095-21DC-4563-BED1-399354272F2F}" = rport=138 | protocol=17 | dir=out | app=system |
"{47DB4AC4-1418-49F7-AFF5-2A1CF1530634}" = lport=445 | protocol=6 | dir=in | app=system |
"{4E6ECF93-BA1D-4E61-B29E-90BB90C89F27}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{663E2054-B099-4181-A3B9-4B82A0D19C4E}" = rport=139 | protocol=6 | dir=out | app=system |
"{74372E62-A8B1-4BA3-93D1-86B9D1559A74}" = lport=138 | protocol=17 | dir=in | app=system |
"{75C3BDEF-1BD5-444E-82D3-CCE86CC920F0}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{77B880A8-78F3-49AB-8A5A-02E493E41D95}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{85E808D3-9219-4919-982A-12C03C399428}" = lport=2869 | protocol=6 | dir=in | name=microsoft upnp-port (tcp) |
"{872B5F1A-2402-432A-8F74-29ED58CE2DB4}" = rport=445 | protocol=6 | dir=out | app=system |
"{8C781EB5-9DDF-4ED1-8358-C0C4A382A48E}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{93F1F60D-C07D-4AFE-872D-DE65F52E8D32}" = rport=10243 | protocol=6 | dir=out | app=system |
"{983A6196-3E0C-4462-BE32-B362D93E9FC1}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{99421341-2B29-4E41-BAAD-437887420EC6}" = lport=1900 | protocol=17 | dir=in | name=microsoft upnp-port (udp) |
"{A3E121A6-3CBE-46C3-AE32-9EDE18819E39}" = lport=10243 | protocol=6 | dir=in | app=system |
"{C94ABF4F-EA09-4222-AEC6-34C058867D2B}" = rport=137 | protocol=17 | dir=out | app=system |
"{D0AB2CD9-A2B9-4CC4-8F8E-2A4CCE13FF56}" = lport=137 | protocol=17 | dir=in | app=system |
"{D5BE0BE1-16B8-4AA4-B0D3-6C312D5FEF72}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{027E35D7-0BCA-4BF2-B43E-85DDFD03D92A}" = protocol=17 | dir=in | app=c:\program files\common files\magix shared\upnpservice\upnpservice.exe |
"{07700AEE-EB31-4550-B4ED-AA5C229F9DA5}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{0C6E81AE-36E5-47F2-AB5E-D302EEDDCDEC}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{0D20E043-5BB3-4A9A-90F8-6B9024E338C5}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{13083BD2-3F1B-42BD-A8D0-50130AEA8945}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{1899F855-A2EC-485A-ADFA-692A9EC83960}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{1C2BB0F8-C11F-49C4-9AEF-0AF086E46DC5}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{384E067B-B1C7-4C48-A025-D6FD3DAC032C}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{3A55F86D-85D5-4986-A0B8-C02596BDD503}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{5CC8C4CF-C735-4844-BBB3-FFD197503011}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{85FA4783-3136-44BD-9964-88B804BC2703}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{AF841E7F-408F-4D30-AF26-F7996834F831}" = protocol=6 | dir=in | app=c:\program files\common files\magix shared\upnpservice\upnpservice.exe |
"{AFF4F0B3-7E9B-40AC-A03C-624EA3A2FFF8}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{B611791C-CBA3-465C-8552-E71D68B47463}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{C253BA6B-707A-43ED-BD30-0A3FA5364535}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{C3D6C123-5488-481D-A6BB-529BD58EAB22}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{D7D9F724-51A3-42A1-AB5E-506F254C1366}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{E142854F-5C50-4481-8397-A119D2DB719B}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{F614FC4D-D83E-4868-80BB-6CF243A5E8D8}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{F8C4492B-B9F1-42D6-AA2C-22809782CA84}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{FC52C706-5A6F-4474-837B-1DE5EB81817E}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{FCE10908-2060-4265-9090-E595F9225406}" = protocol=6 | dir=out | app=system |
"TCP Query User{198ABA51-EB49-42DC-8364-09C30C4F35C9}C:\program files\agfeo\tk-suite-basic\tools\ctimon.exe" = protocol=6 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tools\ctimon.exe |
"TCP Query User{2EE123D1-25B4-4437-AC2F-BC9A7366A126}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe |
"TCP Query User{2F00680E-4414-42E4-9D11-DB19AC114DFB}C:\program files\intervideo\dvd8\windvd.exe" = protocol=6 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"TCP Query User{3DC7CFA3-E51D-4C57-B87F-D03F5164E4DB}C:\program files\agfeo\tk-suite-basic\tkserver\tkmedia.exe" = protocol=6 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tkserver\tkmedia.exe |
"TCP Query User{7695D138-E459-4709-B9B9-E2AE676D4569}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"TCP Query User{A12C9B40-B011-49A7-899A-AC931EA4C889}C:\program files\intervideo\dvd8\windvd.exe" = protocol=6 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"TCP Query User{D502EE73-8DAB-411F-BEA0-77312D687BE0}C:\program files\agfeo\tk-suite-basic\tkserver\tksock.exe" = protocol=6 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tkserver\tksock.exe |
"TCP Query User{E9372A0E-9DEA-4121-A6B7-D73A1BCE6B18}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"UDP Query User{0338947E-5D85-4B21-85E1-D71E5E742075}C:\program files\agfeo\tk-suite-basic\tkserver\tksock.exe" = protocol=17 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tkserver\tksock.exe |
"UDP Query User{126A0E04-BEF2-4A5A-994C-60E83C9BE595}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe |
"UDP Query User{3E074027-3757-4C22-8F73-3EF19BC187B8}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"UDP Query User{8AC6773D-4BE8-4069-A768-ED85AC594CEE}C:\program files\intervideo\dvd8\windvd.exe" = protocol=17 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"UDP Query User{8B84909F-FFE3-4EA1-A523-A4DB5B5CE3DB}C:\program files\intervideo\dvd8\windvd.exe" = protocol=17 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"UDP Query User{D5A4D89D-502B-4391-B1A5-1FF1B1E531EE}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"UDP Query User{D805E500-F854-44E2-890E-61EB9938CB19}C:\program files\agfeo\tk-suite-basic\tkserver\tkmedia.exe" = protocol=17 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tkserver\tkmedia.exe |
"UDP Query User{E6118DB0-89D8-4DCE-AC58-5E5914B5DF22}C:\program files\agfeo\tk-suite-basic\tools\ctimon.exe" = protocol=17 | dir=in | app=c:\program files\agfeo\tk-suite-basic\tools\ctimon.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""TopWare Print-Studio"" = "TopWare Print-Studio"
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0289B35E-DC07-4c7a-9710-BBD686EA4B7D}" = Status
"{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}" = Haufe iDesk-Browser
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07D77970-B205-460C-84E4-263F30455597}" = Nokia Ovi Suite
"{09B7AB90-B6F6-4D33-9E0E-3F8056EE8DF0}" = 4200_Help
"{0C419DF8-74EE-4491-BDE5-409642047D46}" = Telefonauskunft für den PC
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{0FE6C844-4243-4F5B-BC5B-E8B4C3450946}" = USB CASIO Digital Camera Device Driver
"{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}_is1" = SiteRanker
"{12451AF7-EFF8-4B5B-8255-282D7CC7CAEE}" = OviMPlatform
"{14291118-0C19-45EA-A4FA-5C1C0F5FDE09}" = Primo
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{25F61E72-AAA4-4607-95D2-1E5139C98FFB}" = Nokia_Multimedia_Common_Components_2_5
"{2614F54E-A828-49FA-93BA-45A3F756BFAA}" = 32 Bit HP CIO Components Installer
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{2CC53A53-44F4-4667-8584-2FFC9ACB2242}" = Ovi Desktop Sync Engine
"{2D99A593-C841-43A7-B7C9-D6F3AE70B756}" = Nokia Connectivity Cable Driver
"{36FDBE6E-6684-462B-AE98-9A39A1B200CC}" = HP Product Assistant
"{39CB30DB-27F8-4dd4-A294-CB4AE3B584FD}" = Copy
"{3B7458C7-3F03-4415-AC39-D51EDEACDCCC}" = Steuer 2007
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4FCB1267-7380-4EBA-9A6C-69809C6E8227}" = Nokia Music Player
"{544FB392-069D-4BA5-9DC7-FFD47230AEE5}" = Photohands 1.0G
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57C5B3B2-E935-441F-9D3A-0B331E1FE4B9}" = HOT ALBUM MYBOX
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{70B45586-B51E-4947-A258-A895596C5CED}" = Photo Loader 2.2G
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{74DC0593-6BC6-4001-AD5F-D810AFB68D86}" = HP Update
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91065458-A5CF-474C-9160-B44B974B3C25}" = MAGIX USB-Videowandler 2
"{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}" = FirstSteps Diagnostics
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B3E9492-87F0-4D08-B054-2596F738AB35}" = 4200Trb
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C2D4047-0E40-499a-AC7A-C4B9BB12FE03}" = TrayApp
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A4E86B6A-6EEC-41FD-8960-26947F0E3353}" = Haufe iDesk-Service
"{A8F7FCEF-3CA6-4CE9-8FEA-8BB18F8686F0}" = Nokia Ovi Suite Software Updater
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B754B683-E23C-4583-9312-50AD86836B42}" = Steuer Hilfesammlung
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{C373F7C4-05D2-4047-96D1-6AF30661C6AA}" = PC Connectivity Solution
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}" = HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0E39A1D-0CEE-4D85-B4A2-E3BE990D075E}" = Destination Component
"{D5068583-D569-468B-9755-5FBF5848F46F}" = Sony Picture Utility
"{DABF43D9-1104-4764-927B-5BED1274A3B0}" = Runtime
"{DE4FBF52-6825-4C31-8C7A-B12FA71A1583}" = 4200
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{E09575B2-498D-4C8B-A9D2-623F78574F29}" = AIO_CDB_Software
"{E7112940-5F8E-4918-B9FE-251F2F8DC81F}" = AIO_CDB_ProductContext
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{EEEB604C-C1A7-4f8c-B03F-56F9C1C9C45F}" = Fax
"{EF1ADA5A-0B1A-4662-8C55-7475A61D8B65}" = DeviceDiscovery
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"{F90D6825-8F1F-4E3A-9E42-A9C8A9DD1031}" = Nero 7 Essentials
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"AGFEO TK-Soft 32" = AGFEO TK-Soft 32
"Avira AntiVir Desktop" = Avira Free Antivirus
"CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP
"Family Toolbar" = Family Toolbar
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition
"Google Updater" = Google Updater
"GPS Photo Tagger_TSI" = GPS Photo Tagger V1.2.3.h10
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"InstallShield_{57C5B3B2-E935-441F-9D3A-0B331E1FE4B9}" = HOT ALBUM MYBOX
"InstallShield_{91065458-A5CF-474C-9160-B44B974B3C25}" = MAGIX USB-Videowandler 2
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"KlickTel98" = KlickTel ´98 32-Bit
"MAGIX Filme auf DVD 8 D" = MAGIX Filme auf DVD 8 8.0.0.11 (D)
"MAGIX Foto Manager 2008 D" = MAGIX Foto Manager 2008 5.0.0.255 (D)
"MAGIX Fotobuch" = MAGIX Fotobuch 3.2
"MAGIX Music Cleaning Lab 2008 deluxe D" = MAGIX Music Cleaning Lab 2008 deluxe 9.0.0.0 (D)
"MAGIX Online Druck Service D" = MAGIX Online Druck Service 3.4.3.0 (D)
"MAGIX PC Visit D" = MAGIX PC Visit
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Nokia Ovi Suite" = Nokia Ovi Suite
"Organizer V99.1" = Lotus Organizer 6.0
"Picasa 3" = Picasa 3
"ProtectDisc Driver 10" = ProtectDisc Helper Driver 10
"TVEpaDrv" = MAGIXUSB-Videowandler 2 Device Driver
"verwandt.de - Home Edition_is1" = verwandt.de - Home Edition 1.02
"VIA Chrome9 HC IGP Windows Vista Display" = VIA Chrome9 HC IGP Windows Vista Display
"VN_VUIns_Rhine_VIA" = VIA Rhine Family Fast Ethernet Adapter
"WinRAR archiver" = WinRAR
"wissen.de kit" = wissen.de kit
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 18.10.2012 03:42:29 | Computer Name = Horst-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung iexplore.exe, Version 7.0.6000.17037, Zeitstempel
0x4b9658a0, fehlerhaftes Modul AviraCallingIDhelper.dll, Version 1.0.0.1, Zeitstempel
0x503567b5, Ausnahmecode 0xc0000096, Fehleroffset 0x0001ccf8, Prozess-ID 0xe7c,
Anwendungsstartzeit 01cdad041569293e.
Error - 18.10.2012 03:43:51 | Computer Name = Horst-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung iexplore.exe, Version 7.0.6000.17037, Zeitstempel
0x4b9658a0, fehlerhaftes Modul AviraCallingIDhelper.dll, Version 1.0.0.1, Zeitstempel
0x503567b5, Ausnahmecode 0xc0000096, Fehleroffset 0x0001ccf8, Prozess-ID 0xe9c,
Anwendungsstartzeit 01cdad04297a281a.
Error - 18.10.2012 03:53:47 | Computer Name = Horst-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 18.10.2012 03:55:55 | Computer Name = Horst-PC | Source = WerSvc | ID = 5007
Description =
Error - 18.10.2012 05:41:50 | Computer Name = Horst-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 18.10.2012 05:43:38 | Computer Name = Horst-PC | Source = WerSvc | ID = 5007
Description =
Error - 19.10.2012 11:07:40 | Computer Name = Horst-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 19.10.2012 11:10:00 | Computer Name = Horst-PC | Source = WerSvc | ID = 5007
Description =
Error - 19.10.2012 11:28:38 | Computer Name = Horst-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 19.10.2012 11:31:14 | Computer Name = Horst-PC | Source = WerSvc | ID = 5007
Description =
[ System Events ]
Error - 17.10.2012 16:13:26 | Computer Name = Horst-PC | Source = Service Control Manager | ID = 7022
Description =
Error - 17.10.2012 16:24:34 | Computer Name = Horst-PC | Source = DCOM | ID = 10010
Description =
Error - 18.10.2012 05:39:02 | Computer Name = Horst-PC | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.120 für die Netzwerkkarte mit der Netzwerkadresse
00140B3493DE wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
Error - 18.10.2012 05:39:06 | Computer Name = Horst-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker HP Officejet 4200 series fax nicht
unter dem Namen HP Officejet 4200 series fax freigeben. Fehler: 2114. Der Drucker
kann nicht von anderen Benutzern im Netzwerk verwendet werden.
Error - 18.10.2012 05:39:06 | Computer Name = Horst-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker HP Officejet 4200 series (Neu)
nicht unter dem Namen HP Officejet 4200 series (Neu) freigeben. Fehler: 2114. Der
Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.
Error - 19.10.2012 11:06:54 | Computer Name = Horst-PC | Source = Service Control Manager | ID = 7000
Description =
Error - 19.10.2012 11:07:26 | Computer Name = Horst-PC | Source = Service Control Manager | ID = 7022
Description =
Error - 19.10.2012 11:25:08 | Computer Name = Horst-PC | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description =
Error - 19.10.2012 11:28:03 | Computer Name = Horst-PC | Source = Service Control Manager | ID = 7000
Description =
Error - 19.10.2012 11:28:34 | Computer Name = Horst-PC | Source = Service Control Manager | ID = 7022
Description =
< End of report >
Wie gesagt...die Dateien sind leider zu lang. :-( Sorry! Viele Grüße, Michael |
|
19.10.2012, 19:06
| #13 |
| /// the machine /// TB-Ausbilder | GVU Trojaner / Infizierung / Logfiles Fixen mit OTL
Code:
ATTFilter :OTL
IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = http://search.myheritage.com?orig=ds&q={searchTerms}
IE - HKCU\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = http://search.myheritage.com?orig=ds&q={searchTerms}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
:files
C:\Users\Horst\*.IDX
:Commands
[emptytemp]
 [*] Schließe alle Programme.[*] Klicke auf den Fix Button.[*] Klick auf  .[*] OTL verlangt einen Neustart. Bitte zulassen.[*] Nach dem Neustart findest Du ein Textdokument./list]
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
20.10.2012, 08:32
| #14 | |
| | GVU Trojaner / Infizierung / Logfiles Moin schrauber, ok, ohne Probleme durchgelaufen...hier die Log-Datei. Zitat:
Danke und Gruß, Michael |
|
20.10.2012, 14:51
| #15 |
| /// the machine /// TB-Ausbilder | GVU Trojaner / Infizierung / Logfiles Neues OTL log bitte, sollte nun gehen mit direkt posten. Noch Probleme?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
| Themen zu GVU Trojaner / Infizierung / Logfiles |
| .html, anhang, benötigte, folge, folgende, folgenden, gvu trojaner, infizierung, kaspersky, kaspersky windowsunlocker, logfile, logfiles, posts, schritte, troja, trojaner, vollständig, windowsunlocker, zusammen |
Textbox.
Linear-Darstellung
