|
Log-Analyse und Auswertung: Polizei-Trojaner Österreich, Trojan.RansomWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.12.2012, 13:21 | #1 |
| Polizei-Trojaner Österreich, Trojan.Ransom Mich hat es nun leider auch erwischt, wenngleich ich bis dato der Meinung war, dass ich vorgesorgt hätte, aber dem war/ist wohl nicht so... Während des Surfens im Internet kam plötzlich der mittlerweile bekannte Screen, der vorgibt von einer Behörde (in meinem Fall österr. Plozei) zu sein, dass auf dem Rechner illegale Vorgänge beobachtet worden seien und der PC daher gesperrt wurde; mit Zahlung von EUR 100.- via Paysafecard.... usw. Auch die Webcam wurde aktiviert. Rechner umgehend heruntergefahren und mittels Remote-Zugriff (Hiren's Boot CD) folgende Dateien vom System entfernt: - C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\runcft.lnk - C:\Dokumente und EInstellungen\Markus\Lokale EinstellungenTemp\wpbt0.dll Danach noch jene Prefetch-Dateien entfernt, die zum Zeitpunkt der Attacke bzw. danach erstellt wurden. Die Liste der entfernten Prefetch-Dateien kann bei Bedarf hier gepostet werden. Danach System in den abgesicherten Modus gebootet (ohne Netzwerk) und einen kompletten Scan mit Malerwarebytes 1.65.1.100 mit einer etwas veraltetet Db (v2012.09.29.05) ausgeführt, der auch einiges gefunden hat (siehe 1. Log weiter unten). Danach System neu gebootet mit Netzwerk, aber vorerst ohne Inet-Verbindung; dann habe ich für ein Db-Update kurz die Internetverbindung des PC geöffnet und Malewarebytes aktualisiert; nachdem der Rechner wieder vom Netz getrennt war und ein neues Komplettscan ausgeführt wurde, gab's leider noch einen Fund (Trojan.Ransom; siehe 2.Log unten). Weitere Scans mit Malewarebytes & McAfee ergaben keine Funde mehr. Anschließend wurde defogger ausgeführt und danach wurden die erforderlichen Logs mittels OTL und GMER erstellt. Ich bin mit diesem Rechner immer noch offline, da ich leider noch eine Eigenartigkeit entdeckt habe: als ich die Defogger- und Gmer-Dateien vom USB-Stick aufrufen wollte, wurden diese nur kryptisch angezeigt, obwohl ich sie zuvor ganz normal auf den USB-Stick gespeichert habe. Ich mußte diese Programme mittels gebrannter CD auf den Rechner laden. Screenshots davon sind anbei. Log vom 1.Komplettscan mit Malewarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.09.29.05 Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus) Internet Explorer 8.0.6001.18702 Markus :: INT3000 [Administrator] 09.12.2012 15:28:45 mbam-log-2012-12-09 (15-28-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 394418 Laufzeit: 1 Stunde(n), 59 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 15 HKCR\CLSID\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{12C94089-40EF-4885-860A-6CDD3E138A20} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{5623D216-E8FF-4C50-AE30-EDB906274C7D} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Suchspur.SuchspurObj.1 (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Suchspur.SuchspurObj (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D945E9A-DC10-4670-83EB-99DAA616628A} (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (Adware.180Solutions) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FAA356E4-D317-42A6-AB41-A3021C6E7D52} (Adware.ISTBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Suchspur (AdWare.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Suchen (AdWare.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Daten: 8197 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{10E42047-DEB9-4535-A118-B3F6EC39B807} (Adware.ISTBar) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 1 C:\WINDOWS\system32\Suchspur.dll (Adware.Stud) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Log vom 2. Komplettscan Malewarebytes mit aktualiserter Db Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.09.03 Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.6001.18702 Markus :: INT3000 [Administrator] 09.12.2012 18:13:11 mbam-log-2012-12-09 (18-13-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 403215 Laufzeit: 1 Stunde(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D04C5UBG\myfile[1].dll (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Dann noch die Logs von OTL OTL.txt: Code:
ATTFilter OTL logfile created on: 11.12.2012 01:01:49 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Markus\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 82,02% Memory free 4,33 Gb Paging File | 3,98 Gb Available in Paging File | 91,91% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,56 Gb Total Space | 32,71 Gb Free Space | 43,88% Space Free | Partition Type: NTFS Drive D: | 74,53 Gb Total Space | 48,61 Gb Free Space | 65,22% Space Free | Partition Type: NTFS Drive E: | 56,64 Gb Total Space | 10,51 Gb Free Space | 18,56% Space Free | Partition Type: NTFS Drive W: | 300,33 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF Drive X: | 92,41 Gb Total Space | 53,50 Gb Free Space | 57,90% Space Free | Partition Type: NTFS Computer Name: INT3000 | User Name: Markus | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.12.10 23:36:03 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Markus\Desktop\OTL.exe PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2012.04.13 12:27:04 | 003,605,664 | ---- | M] (A-Trust GmbH) -- C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe PRC - [2012.01.24 16:21:22 | 000,021,880 | ---- | M] (Schneider Electric) -- C:\Programme\APC\PowerChute Personal Edition\dataserv.exe PRC - [2012.01.24 16:11:56 | 000,705,912 | ---- | M] (Schneider Electric) -- C:\Programme\APC\PowerChute Personal Edition\mainserv.exe PRC - [2012.01.24 16:06:48 | 000,673,144 | ---- | M] (Schneider Electric) -- C:\Programme\APC\PowerChute Personal Edition\apcsystray.exe PRC - [2011.03.01 22:14:08 | 000,190,808 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\LWS\Webcam Software\LWS.exe PRC - [2010.03.03 18:39:40 | 002,598,760 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\Norton Ghost\Agent\VProTray.exe PRC - [2010.03.03 18:39:38 | 004,590,432 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\Norton Ghost\Agent\VProSvc.exe PRC - [2009.09.21 19:19:20 | 001,964,528 | ---- | M] (Symantec) -- C:\Programme\Symantec\Norton Ghost\Shared\Drivers\SymSnapService.exe PRC - [2008.04.23 01:08:13 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.09.17 18:04:02 | 002,902,528 | ---- | M] (Almico Software (www.almico.com)) -- C:\Programme\SpeedFan\speedfan.exe PRC - [2006.11.30 07:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe PRC - [2006.11.30 07:50:00 | 000,112,216 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\shstat.exe PRC - [2006.11.30 07:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe PRC - [2006.11.17 12:40:56 | 000,136,768 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe PRC - [2006.11.17 12:39:58 | 000,136,768 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\UdaterUI.exe PRC - [2006.11.17 12:37:44 | 000,104,000 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe PRC - [2006.11.17 02:06:00 | 000,086,016 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\Mctray.exe PRC - [2006.03.23 17:06:50 | 001,398,272 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCD.exe PRC - [2006.03.23 17:06:38 | 000,880,128 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe PRC - [2004.08.05 18:28:42 | 000,090,112 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\Dit.exe PRC - [2004.04.23 11:00:36 | 000,192,512 | ---- | M] (Pinnacle Systems) -- C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE PRC - [2003.05.14 17:44:20 | 000,794,624 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!X\Fritzx.exe PRC - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe PRC - [2002.03.12 18:37:28 | 000,028,672 | ---- | M] (Novell, Inc.) -- C:\WINDOWS\system32\nwtray.exe PRC - [2001.09.27 01:39:42 | 000,245,760 | ---- | M] (ATI Technologies, Inc.) -- C:\WINDOWS\system32\atiptaxx.exe PRC - [1999.05.15 20:14:44 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\CNOServerLauncher.exe ========== Modules (No Company Name) ========== MOD - [2012.11.24 19:21:14 | 000,627,200 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Transactions\43b92a8dac90d1d6426274274abb69a6\System.Transactions.ni.dll MOD - [2012.11.24 19:21:13 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\31b7eef43a23e7c6e93594be583f3d08\System.ServiceProcess.ni.dll MOD - [2012.11.24 19:19:42 | 000,627,712 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\18a9c594469dc027497b448fb945aaca\System.EnterpriseServices.ni.dll MOD - [2012.11.24 19:19:42 | 000,280,064 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\18a9c594469dc027497b448fb945aaca\System.EnterpriseServices.Wrapper.dll MOD - [2012.11.24 19:11:44 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\41cac4885974d07de06f0b4fec9883f0\System.Configuration.ni.dll MOD - [2012.11.24 19:03:06 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\d35b50eb6bb7b1bfb6592419d9feba47\System.Xml.ni.dll MOD - [2012.11.24 19:00:56 | 006,616,576 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\d309c7e5107b3aed78e097659f94543b\System.Data.ni.dll MOD - [2012.11.24 18:58:07 | 007,977,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\90ad0c96693527ae685ff40019bb33b0\System.ni.dll MOD - [2012.11.24 18:57:20 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\3add69b075f3da012fb97ce00cd795c0\mscorlib.ni.dll MOD - [2012.11.24 18:55:50 | 002,933,248 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll MOD - [2012.11.24 18:55:28 | 000,113,664 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll MOD - [2012.11.24 18:55:26 | 000,261,632 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll MOD - [2012.04.13 12:27:36 | 002,393,248 | ---- | M] () -- C:\Programme\A-Trust GmbH\Bürgerkartensoftware\Xalan-C_1_10.dll MOD - [2012.04.13 12:27:36 | 000,007,328 | ---- | M] () -- C:\Programme\A-Trust GmbH\Bürgerkartensoftware\XalanMessages_1_10.dll MOD - [2012.01.08 14:41:12 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll MOD - [2010.05.07 18:37:40 | 000,126,808 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QJpeg4.dll MOD - [2010.05.07 18:37:40 | 000,027,480 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QGif4.dll MOD - [2010.05.07 18:36:54 | 000,340,824 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTXml4.dll MOD - [2010.05.07 18:35:56 | 007,954,776 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTGui4.dll MOD - [2010.05.07 18:35:44 | 002,143,576 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTCore4.dll MOD - [2009.02.26 23:20:52 | 000,040,960 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll MOD - [2008.04.14 03:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2006.11.30 07:50:00 | 000,149,080 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\VsEvntUI.DLL MOD - [2006.11.17 12:41:22 | 000,120,384 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naXML71.dll MOD - [2006.11.17 12:39:10 | 000,071,232 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naisign.dll MOD - [2006.05.14 05:23:40 | 000,138,752 | ---- | M] () -- C:\Programme\7-Zip\7-zip.dll MOD - [2006.01.12 20:20:48 | 001,265,664 | ---- | M] () -- C:\Programme\Adobe\Acrobat 7.0\Distillr\adistres.DEU MOD - [2006.01.12 20:20:26 | 000,019,968 | ---- | M] () -- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.DEU MOD - [2006.01.12 20:13:46 | 000,019,968 | ---- | M] () -- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.FRA MOD - [2005.09.08 09:55:34 | 000,245,843 | ---- | M] () -- C:\WINDOWS\system32\nwshlxnt.dll MOD - [2005.01.13 08:50:00 | 000,121,660 | ---- | M] () -- C:\WINDOWS\system32\nls\DEUTSCH\nwshlxnr.dll MOD - [2004.12.26 20:34:38 | 000,121,344 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2003.02.10 14:29:26 | 000,430,080 | ---- | M] () -- C:\Programme\FRITZ!X\Transmission.dll MOD - [2002.11.26 13:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll MOD - [2001.12.11 15:48:58 | 000,270,336 | ---- | M] () -- C:\WINDOWS\system32\CfShellFtpRds.dll MOD - [2001.12.11 15:48:06 | 000,147,456 | ---- | M] () -- C:\WINDOWS\system32\CFFileProxy.dll MOD - [2001.12.11 15:47:00 | 000,442,368 | ---- | M] () -- C:\WINDOWS\system32\cfssvradmin.dll MOD - [1999.05.15 20:14:44 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\CNOServerLauncher.exe ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.12.05 22:33:46 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.11.24 20:09:46 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.01.24 16:21:22 | 000,021,880 | ---- | M] (Schneider Electric) [Auto | Running] -- C:\Programme\APC\PowerChute Personal Edition\dataserv.exe -- (APC Data Service) SRV - [2012.01.24 16:11:56 | 000,705,912 | ---- | M] (Schneider Electric) [Auto | Running] -- C:\Programme\APC\PowerChute Personal Edition\mainserv.exe -- (APC UPS Service) SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.03.03 18:39:38 | 004,590,432 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Symantec\Norton Ghost\Agent\VProSvc.exe -- (Norton Ghost) SRV - [2010.02.12 06:09:06 | 001,574,408 | ---- | M] (Symantec) [On_Demand | Stopped] -- C:\Programme\Symantec\Norton Ghost\Shared\Drivers\GenericMountHelper.exe -- (GenericMount Helper Service) SRV - [2010.01.26 12:41:08 | 000,652,800 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2009.09.21 19:19:20 | 001,964,528 | ---- | M] (Symantec) [On_Demand | Running] -- C:\Programme\Symantec\Norton Ghost\Shared\Drivers\SymSnapService.exe -- (SymSnapService) SRV - [2007.09.26 09:53:56 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate) SRV - [2006.11.30 07:50:00 | 000,144,960 | ---- | M] (McAfee, Inc.) [Auto | Paused] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield) SRV - [2006.11.30 07:50:00 | 000,054,872 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager) SRV - [2006.11.17 12:37:44 | 000,104,000 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework) SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2006.09.29 15:37:57 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service) SRV - [2006.03.23 17:06:38 | 000,880,128 | ---- | M] (Nero AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) SRV - [2006.03.23 17:06:38 | 000,880,128 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv) SRV - [2005.01.18 08:17:56 | 000,036,864 | ---- | M] (Novell, Inc.) [On_Demand | Stopped] -- C:\WINDOWS\system32\cusrvc.exe -- (cusrvc) SRV - [2004.10.22 02:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2003.10.31 11:01:00 | 000,106,496 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Symantec\pcAnywhere\awhost32.exe -- (awhost32) SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) SRV - [2003.03.03 13:33:40 | 000,143,360 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\NCS\Sync\NetSvc.exe -- (NetSvc) SRV - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default) SRV - [2002.01.11 09:19:04 | 000,196,669 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\AsInsHelp32.sys -- (ASInsHelp) DRV - [2012.12.11 00:56:21 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBCRFT.SYS -- (CardReaderFilter) DRV - [2012.09.29 19:54:26 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.11.10 03:49:50 | 004,323,040 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) DRV - [2010.11.10 03:48:12 | 000,283,744 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS) DRV - [2010.11.10 03:46:28 | 000,020,704 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvbusflt.sys -- (CompFilter) DRV - [2010.02.12 06:10:12 | 000,057,840 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\GenericMount.sys -- (GenericMount) DRV - [2010.01.21 14:53:16 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd) DRV - [2009.12.30 11:30:56 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt) DRV - [2009.12.30 11:30:48 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - [2009.12.30 11:30:48 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev) DRV - [2009.10.02 15:29:42 | 000,066,472 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\avmport.sys -- (AVMPORT) DRV - [2009.10.01 21:03:40 | 000,131,000 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\WimFltr.sys -- (WimFltr) DRV - [2009.09.21 19:40:14 | 000,015,096 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vproeventmonitor.sys -- (VProEventMonitor) DRV - [2009.09.21 19:20:42 | 000,138,592 | ---- | M] (StorageCraft) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\symsnap.sys -- (symsnap) DRV - [2009.08.10 11:07:32 | 000,089,600 | ---- | M] (Gemalto) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\GemCCID.sys -- (GemCCID) DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2006.11.30 07:50:00 | 000,168,776 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk) DRV - [2006.11.30 07:50:00 | 000,072,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk) DRV - [2006.11.30 07:50:00 | 000,064,360 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk) DRV - [2006.11.30 07:50:00 | 000,052,136 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik) DRV - [2006.11.30 07:50:00 | 000,034,152 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk) DRV - [2006.11.30 07:50:00 | 000,031,944 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Programme\McAfee\VirusScan Enterprise\mferkdk.sys -- (mferkdk) DRV - [2006.11.02 09:16:18 | 000,017,328 | R--- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SiWinAcc.sys -- (SiFilter) DRV - [2006.11.02 09:15:44 | 000,012,464 | R--- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SiRemFil.sys -- (SiRemFil) DRV - [2006.11.02 09:14:56 | 000,069,296 | R--- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SI3112.sys -- (SI3112) DRV - [2006.09.24 14:28:46 | 000,005,248 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan) DRV - [2006.03.23 17:15:58 | 000,102,016 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs) DRV - [2006.03.23 17:15:56 | 000,033,536 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm) DRV - [2006.03.23 17:15:56 | 000,029,440 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass) DRV - [2006.03.23 17:00:28 | 000,008,704 | ---- | M] (Nero AG) [Recognizer | System | Unknown] -- C:\WINDOWS\System32\drivers\InCDrec.sys -- (InCDrec) DRV - [2005.11.10 06:53:00 | 000,018,353 | ---- | M] (Novell, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\system32\NetWare\nwdhcp.sys -- (NWDHCP) DRV - [2005.10.27 15:38:46 | 000,497,743 | ---- | M] (Novell, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\system32\NetWare\nwfs.sys -- (NetwareWorkstation) DRV - [2005.10.27 15:21:08 | 000,155,761 | ---- | M] (Novell, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\system32\NetWare\srvloc.sys -- (SRVLOC) DRV - [2005.10.27 15:15:14 | 000,039,731 | ---- | M] (Novell, Inc.) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\NetWare\nwsipx32.sys -- (NWSIPX32) DRV - [2005.10.12 12:12:18 | 000,009,297 | ---- | M] (Novell, Inc.) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\NetWare\nwhost.sys -- (NWHOST) DRV - [2005.10.12 12:11:32 | 000,006,128 | ---- | M] (Novell, Inc.) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\NetWare\nwsns.sys -- (NWSNS) DRV - [2005.09.29 11:04:46 | 000,035,568 | ---- | M] (Novell, Inc.) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\NetWare\nwdns.sys -- (NWDNS) DRV - [2005.05.26 17:14:00 | 000,015,891 | ---- | M] (Novell, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\NetWare\nwfilter.sys -- (NWFILTER) DRV - [2005.01.09 01:04:15 | 000,073,496 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2005.01.03 13:51:38 | 000,020,332 | ---- | M] (Novell, Inc.) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\NetWare\nwslp.sys -- (NWSLP) DRV - [2004.08.31 19:07:08 | 000,026,240 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL) DRV - [2004.08.19 11:34:06 | 000,038,848 | ---- | M] (Novell, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nicm.sys -- (NICM) DRV - [2004.07.16 16:47:14 | 000,014,165 | ---- | M] (Pinnacle Systems GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Pclepci.sys -- (PCLEPCI) DRV - [2004.06.01 17:19:34 | 000,027,249 | ---- | M] (Novell, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\NetWare\resmgr.sys -- (RESMGR) DRV - [2004.05.05 13:40:38 | 000,019,584 | ---- | M] (Pinnacle Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emAudio.sys -- (emAudio) DRV - [2004.04.06 14:08:06 | 000,100,957 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emDevice.sys -- (DCamUSBEMPIA) DRV - [2004.04.06 14:07:58 | 000,005,245 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emFilter.sys -- (FiltUSBEMPIA) DRV - [2004.04.06 14:07:54 | 000,004,493 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emScan.sys -- (ScanUSBEMPIA) DRV - [2004.03.10 15:27:18 | 000,011,264 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\asapiW2k.sys -- (ASAPIW2k) DRV - [2003.10.23 11:01:00 | 000,016,984 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST) DRV - [2003.09.29 07:10:00 | 000,083,008 | ---- | M] (Network Associates, Inc.) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\naiavf5x.sys -- (NaiAvFilter1) DRV - [2003.04.21 14:08:44 | 000,010,901 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AWLEGACY.sys -- (awlegacy) DRV - [2003.04.21 13:00:32 | 000,013,898 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\GERNUWA.sys -- (Gernuwa) DRV - [2003.03.13 11:13:56 | 000,031,287 | R--- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\a311.sys -- (Adobperdiuad) DRV - [2003.02.27 01:00:00 | 000,523,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fxpcbase.sys -- (FXPCBASE) DRV - [2003.02.27 01:00:00 | 000,038,608 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2003.02.26 13:51:18 | 000,023,232 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\NetWare\nwsap.sys -- (NWSAP) DRV - [2002.09.16 17:14:32 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.sys -- (PQNTDrv) DRV - [2002.01.11 09:19:04 | 000,259,072 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETFRITZ.SYS -- (NETFRITZ) DRV - [2001.09.27 00:32:38 | 000,285,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtaa.sys -- (ati2mtaa) DRV - [1997.04.22 10:16:00 | 000,006,272 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ASLM75.SYS -- (aslm75) DRV - [1996.04.03 20:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/ IE - HKCU\..\SearchScopes,DefaultScope = {58AFA1A3-D1BD-4AE2-99ED-62610531455F} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{58AFA1A3-D1BD-4AE2-99ED-62610531455F}: "URL" = hxxp://www.google.at/search?hl=de&q={searchTerms}&meta= IE - HKCU\..\SearchScopes\{C836C8F4-E756-43F0-B505-E446AD07A2CF}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1;127.0.0.1;127.0.0.1;127.0.0.1;127.0.0.1;<local>;*.local 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 10.200.3.1:8080 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.at/" FF - prefs.js..extensions.enabledAddons: %7B1A2D0EC4-75F5-4c91-89C4-3656F6E44B68%7D:0.4.6 FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0033-ABCDEFFEDCBA%7D:6.0.33 FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1 FF - prefs.js..extensions.enabledItems: {477c4c36-24eb-11da-94d4-00e08161165f}:2.7.6 FF - prefs.js..extensions.enabledItems: {1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}:0.4.6 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.2.26 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..network.proxy.http: "10.200.3.1" FF - prefs.js..network.proxy.http_port: 8080 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1167637.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.69: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2010.01.09 10:11:17 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.03.10 20:47:10 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.05 22:33:47 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.05 22:33:35 | 000,000,000 | ---D | M] [2008.08.26 23:46:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Extensions [2012.07.05 23:16:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\45spu0sj.default\extensions [2010.12.31 21:37:29 | 000,000,000 | ---D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\45spu0sj.default\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68} [2010.05.03 18:46:23 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\45spu0sj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.12.05 22:33:29 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.12.05 22:33:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2012.12.05 22:33:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2012.12.05 22:33:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2012.12.05 22:33:47 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.10.11 22:26:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.10.11 22:26:14 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.10.11 22:26:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.10.11 22:26:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.10.11 22:26:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.10.11 22:26:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\ScriptCl.dll (McAfee, Inc.) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (FlashGet Bar) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll (Amaze Soft) O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [ATIPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [AWMON] C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe (Lavasoft Sweden) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.) O4 - HKLM..\Run: [CnOServerLauncher] C:\WINDOWS\System32\CNOServerLauncher.exe () O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [Device Detection] C:\Programme\fotokasten comfort - Österreich\dd.exe File not found O4 - HKLM..\Run: [Display] C:\Programme\APC\PowerChute Personal Edition\DataCollectionLauncher.exe (Schneider Electric) O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI Technology Ltd.) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG) O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\UdaterUI.exe (McAfee, Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [Norton Ghost 15.0] C:\Programme\Symantec\Norton Ghost\Agent\VProTray.exe (Symantec Corporation) O4 - HKLM..\Run: [NWTRAY] C:\WINDOWS\System32\nwtray.exe (Novell, Inc.) O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe () O4 - HKLM..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe (Intel(R) Corporation) O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" File not found O4 - HKLM..\Run: [USB2Check] C:\WINDOWS\System32\PCLECoInst.dll (Pinnacle Systems) O4 - HKLM..\Run: [USBToolTip] C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe (Pinnacle Systems) O4 - HKCU..\Run: [acSecurityLayer] C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe (A-Trust GmbH) O4 - HKCU..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.1; .NET CLR 2.0.50727)" -"hxxp://www.roundgames.de/dcr/3082.dcr" File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\APC UPS Status.lnk = C:\Programme\APC\PowerChute Personal Edition\Display.exe (Schneider Electric) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BKU_acSecurityLayer.lnk = C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe (A-Trust GmbH) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!X.lnk = C:\Programme\FRITZ!X\Fritzx.exe (AVM Berlin) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe (Almico Software (www.almico.com)) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: CompatibleRUPSecurity = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm () O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm () O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRDownload.htm () O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XML Spy Suite\spy.htm () O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRBrowse.htm () O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_37.dll (Sun Microsystems, Inc.) O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe (Amaze Soft) O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe (Amaze Soft) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\NetWare\nwws2nds.dll (Novell, Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\WINDOWS\system32\NetWare\nwws2sap.dll (Novell, Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\WINDOWS\system32\NetWare\nwws2slp.dll (Novell, Inc.) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.6.2.cab (DLM Control) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355080641484 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{482A7A30-ACD5-4A61-A821-56A6CDC4C455}: NameServer = 195.3.96.67,62.146.4.100 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: GinaDLL - (NWGINA.DLL) - C:\WINDOWS\System32\nwgina.dll (Novell, Inc.) O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation) O20 - Winlogon\Notify\PCANotify: DllName - (PCANotify.dll) - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O30 - LSA: Authentication Packages - (nwv1_0) - C:\WINDOWS\System32\nwv1_0.dll (Novell, Inc.) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.12.29 17:38:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{ab4d51d1-94a5-11dd-9cd3-00112fbd521e}\Shell\AutoRun\command - "" = K:\autorun.exe start.htm O34 - HKLM BootExecute: (autocheck autochk *) O34 - HKLM BootExecute: (oodbs) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.12.11 00:58:27 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Markus\Desktop\OTL.exe [2012.12.09 15:27:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Malwarebytes [2012.12.09 15:27:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.12.09 15:27:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.12.09 15:26:59 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.12.09 15:26:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.12.05 22:33:26 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2012.12.01 11:05:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [2012.12.01 11:05:03 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype [2012.11.30 18:53:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TeamViewer 7 [2012.11.30 18:53:01 | 000,000,000 | ---D | C] -- C:\Programme\TeamViewer [2012.11.30 17:32:59 | 000,194,048 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\avmacc32.dll [2012.11.30 17:26:59 | 000,135,680 | ---- | C] (AVM GmbH) -- C:\WINDOWS\System32\avmco32.org [2012.11.27 10:54:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoLAN [2012.11.26 18:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\APC [2012.11.26 18:23:31 | 000,000,000 | ---D | C] -- C:\Programme\APC [2012.11.26 18:22:54 | 013,923,704 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\PCPE Setup.exe [2012.11.26 18:22:54 | 001,079,808 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Markus\mfc80u.dll [2012.11.26 18:22:54 | 000,626,688 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Markus\msvcr80.dll [2012.11.26 18:22:53 | 000,021,880 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\grm_res.dll [2012.11.26 18:22:53 | 000,021,880 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\fr_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\pt_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\it_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\es_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\en_res.dll [2012.11.26 18:22:53 | 000,020,856 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\ru_res.dll [2012.11.26 18:22:53 | 000,020,344 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\jp_res.dll [2012.11.26 18:22:53 | 000,019,832 | ---- | C] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\zh_res.dll [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.12.11 00:59:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\defogger_reenable [2012.12.11 00:56:21 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\System32\drivers\USBCRFT.SYS [2012.12.11 00:43:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.12.11 00:30:47 | 000,009,226 | ---- | M] () -- C:\WINDOWS\wincmd.ini [2012.12.10 23:39:34 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk [2012.12.10 23:38:03 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.12.10 23:37:06 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\Desktop\ys66z61q.exe [2012.12.10 23:36:03 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Markus\Desktop\OTL.exe [2012.12.10 23:34:43 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\Desktop\Defogger.exe [2012.12.10 23:25:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.12.10 23:25:47 | 3219,968,000 | -HS- | M] () -- C:\hiberfil.sys [2012.12.10 15:49:29 | 000,004,648 | ---- | M] () -- C:\WINDOWS\wcx_ftp.ini [2012.12.10 11:31:30 | 000,000,091 | ---- | M] () -- C:\WINDOWS\WPCMAPI.INI [2012.12.10 11:12:36 | 000,000,546 | ---- | M] () -- C:\WT61DE.UWL [2012.12.09 15:27:04 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.12.06 02:18:31 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012.12.02 18:31:25 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2012.11.30 18:53:06 | 000,000,792 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 7.lnk [2012.11.27 10:42:00 | 000,459,250 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.11.27 10:42:00 | 000,441,552 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.11.27 10:42:00 | 000,084,754 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.11.27 10:42:00 | 000,071,488 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.11.26 18:30:03 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\Desktop\Word 2003.lnk [2012.11.26 18:23:48 | 000,000,775 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\APC UPS Status.lnk [2012.11.26 18:22:55 | 013,338,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\PCPE_3.0.1.msi [2012.11.26 18:22:54 | 013,923,704 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\PCPE Setup.exe [2012.11.26 18:22:54 | 000,018,808 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\ResourceReader.dll [2012.11.26 18:22:53 | 000,021,880 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\grm_res.dll [2012.11.26 18:22:53 | 000,021,880 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\fr_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\pt_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\it_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\es_res.dll [2012.11.26 18:22:53 | 000,021,368 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\en_res.dll [2012.11.26 18:22:53 | 000,020,856 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\ru_res.dll [2012.11.26 18:22:53 | 000,020,344 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\jp_res.dll [2012.11.26 18:22:53 | 000,019,832 | ---- | M] (Schneider Electric) -- C:\Dokumente und Einstellungen\Markus\zh_res.dll [2012.11.24 20:01:49 | 000,554,704 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.11.24 19:01:20 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.11.23 19:11:37 | 000,002,465 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\Desktop\CorelDRAW 12.lnk [2012.11.12 14:25:03 | 000,002,641 | ---- | M] () -- C:\Dokumente und Einstellungen\Markus\Desktop\XML Spy IDE.lnk [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.12.11 00:59:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\defogger_reenable [2012.12.11 00:58:38 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Desktop\ys66z61q.exe [2012.12.11 00:58:04 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Desktop\Defogger.exe [2012.12.09 19:37:46 | 3219,968,000 | -HS- | C] () -- C:\hiberfil.sys [2012.12.09 15:27:04 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.12.01 11:05:15 | 000,002,243 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2012.11.30 18:53:05 | 000,000,792 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 7.lnk [2012.11.26 18:23:48 | 000,000,775 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\APC UPS Status.lnk [2012.11.26 18:22:55 | 013,338,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\PCPE_3.0.1.msi [2012.11.26 18:22:54 | 000,018,808 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\ResourceReader.dll [2012.08.25 14:25:16 | 000,002,272 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2012.02.25 18:32:04 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.02.12 19:47:39 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PSPath.ini [2011.10.23 14:58:42 | 000,031,864 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2011.10.23 14:30:29 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08a.dat [2011.06.05 19:01:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.04.29 00:47:26 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2011.03.20 20:51:38 | 000,000,037 | ---- | C] () -- C:\WINDOWS\Acroread.ini [2011.01.08 17:14:42 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.06 17:45:14 | 000,008,198 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\WT61OZ.UWL [2010.07.04 15:54:35 | 000,003,069 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LUUnInstall.LiveUpdate [2008.11.19 01:06:46 | 000,193,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\mdbu.bin [2006.12.13 03:34:38 | 000,153,088 | ---- | C] () -- C:\Programme\UNWISE.EXE [2005.04.19 01:14:48 | 000,001,077 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\MarkVision.settings [2005.04.19 00:25:17 | 000,000,870 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\mvpcacerts [2005.02.13 05:05:27 | 000,014,848 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2005.01.10 02:03:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2005.01.08 22:06:19 | 000,000,133 | ---- | C] () -- C:\Dokumente und Einstellungen\Markus\default.pls ========== ZeroAccess Check ========== [2005.01.10 02:00:25 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.10.16 02:00:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.01.03 20:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\A-Trust GmbH [2010.12.06 13:16:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Advansys [2005.06.24 12:31:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk [2010.02.04 15:46:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DataFlash [2005.02.10 02:42:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRITZ! [2010.01.09 10:06:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2004.12.29 18:55:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates [2010.03.22 08:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OviInstallerCache [2010.01.03 22:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2006.12.13 03:56:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle [2008.07.15 14:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2006.12.13 02:22:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc [2009.02.12 23:49:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SQL Anywhere 10 [2012.01.02 17:47:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SQL Anywhere 12 [2012.09.05 18:57:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon [2010.07.04 16:07:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{1C6FDDD8-FC9E-4C12-9FA5-1AAD377097B3} [2010.06.26 16:12:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [2012.09.13 07:10:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\.oit [2011.05.15 17:57:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\A-Trust GmbH [2007.02.20 18:02:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Alien Skin [2005.04.19 02:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Autodesk [2005.02.10 20:59:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\DameWare Development [2010.09.07 16:05:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\DataFlash [2012.03.10 20:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\DDMSettings [2009.03.18 17:35:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\DisplayTune [2011.01.21 21:56:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\ElevatedDiagnostics [2012.05.31 14:25:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\FileZilla [2009.07.09 16:37:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\FreeCAD [2012.03.11 11:41:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\FreeMoviesToDVD [2006.12.19 02:33:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\FRITZ! [2007.06.11 20:32:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\HappyFoto [2005.01.09 01:20:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\ICAClient [2010.02.04 17:40:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\IcoFX [2005.01.10 02:03:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\IsolatedStorage [2011.01.20 17:43:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Leadertech [2010.09.24 21:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Nitu [2010.05.06 22:42:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Nokia [2011.03.11 15:24:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Novell [2010.02.01 16:37:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PC Suite [2012.07.07 07:39:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PC-FAX TX [2005.02.26 23:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\ScanSoft [2012.01.02 17:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\SQL Anywhere 12 [2012.11.30 18:54:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\TeamViewer [2005.01.09 04:38:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Tenebril [2009.08.14 13:41:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\TourDeFlex.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 [2008.06.29 22:07:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\XCPCSync.OEM [2012.09.05 18:57:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Zeon ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\boot.ini:SummaryInformation < End of report > Code:
ATTFilter OTL Extras logfile created on: 11.12.2012 01:01:49 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Markus\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 82,02% Memory free 4,33 Gb Paging File | 3,98 Gb Available in Paging File | 91,91% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,56 Gb Total Space | 32,71 Gb Free Space | 43,88% Space Free | Partition Type: NTFS Drive D: | 74,53 Gb Total Space | 48,61 Gb Free Space | 65,22% Space Free | Partition Type: NTFS Drive E: | 56,64 Gb Total Space | 10,51 Gb Free Space | 18,56% Space Free | Partition Type: NTFS Drive W: | 300,33 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF Drive X: | 92,41 Gb Total Space | 53,50 Gb Free Space | 57,90% Space Free | Partition Type: NTFS Computer Name: INT3000 | User Name: Markus | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "54925:UDP" = 54925:UDP:*:Enabled:Brother Network Scanner "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation) "C:\Programme\Symantec\pcAnywhere\Winaw32.exe" = C:\Programme\Symantec\pcAnywhere\Winaw32.exe:*:Enabled:pcAnywhere Main Executable -- (Symantec Corporation) "C:\Programme\Symantec\pcAnywhere\awhost32.exe" = C:\Programme\Symantec\pcAnywhere\awhost32.exe:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation) "C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation) "C:\WINDOWS\system32\javaw.exe" = C:\WINDOWS\system32\javaw.exe:*:Enabled:javaw -- (Sun Microsystems, Inc.) "C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:java -- (Sun Microsystems, Inc.) "C:\Programme\Ipswitch\WS_FTP Pro\wsftpgui.exe" = C:\Programme\Ipswitch\WS_FTP Pro\wsftpgui.exe:*:Enabled:WS_FTP Pro Application "C:\Programme\ELBA5\db\sybase\dbeng8.exe" = C:\Programme\ELBA5\db\sybase\dbeng8.exe:*:Enabled:Adaptive Server Anywhere Database Engine "C:\Programme\ELBA5\jre\bin\javaw.exe" = C:\Programme\ELBA5\jre\bin\javaw.exe:*:Enabled:javaw -- (Sun Microsystems, Inc.) "C:\Programme\Lexmark\MarkVision Professional\jre\bin\java.exe" = C:\Programme\Lexmark\MarkVision Professional\jre\bin\java.exe:*:Enabled:java "C:\Programme\wincmd\WINCMD32.EXE" = C:\Programme\wincmd\WINCMD32.EXE:*:Enabled:Windows Commander 32 bit international version, file manager replacement for Windows -- (C. Ghisler & Co.) "W:\Setup.exe" = W:\Setup.exe:*:Enabled:Setup Wizard of WAP54G "C:\Programme\HP Web Jetadmin\hpwebjetd.exe" = C:\Programme\HP Web Jetadmin\hpwebjetd.exe:*:Enabled:Apache HTTP Server "C:\Programme\Internet Explorer\IEXPLORE.EXE" = C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer -- (Microsoft Corporation) "C:\Programme\GetRight\getright.exe" = C:\Programme\GetRight\getright.exe:*:Enabled:GetRight® www.getright.com -- (Headlight Software, Inc.) "C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation) "C:\WINDOWS\system32\rundll32.exe" = C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WcesMgr.exe" = C:\Programme\Microsoft ActiveSync\WcesMgr.exe:*:Enabled:ActiveSync Application "C:\Programme\GroupWise PDA Connect\xtndpc.exe" = C:\Programme\GroupWise PDA Connect\xtndpc.exe:*:Enabled:GroupWise PDA Connect "C:\Programme\Gemeinsame Dateien\XCPCSync.OEM\Novell.GWPDAConnect.1.0\Translators\PocketPC2003\XCPCDTC.exe" = C:\Programme\Gemeinsame Dateien\XCPCSync.OEM\Novell.GWPDAConnect.1.0\Translators\PocketPC2003\XCPCDTC.exe:*:Enabled:XCPCDTC "C:\Programme\Ahead\Nero ShowTime\ShowTime.exe" = C:\Programme\Ahead\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime -- (Nero AG) "C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation) "%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation) "E:\TREIBER\WLAN\LINKSYS\WPC54G\WAP54Gv3-EU_wizard\WAP54G-EU_UT_v3\Setup.exe" = E:\TREIBER\WLAN\LINKSYS\WPC54G\WAP54Gv3-EU_wizard\WAP54G-EU_UT_v3\Setup.exe:*:Enabled:Setup -- () "C:\Programme\Network Associates\Common Framework\FrameworkService.exe" = C:\Programme\Network Associates\Common Framework\FrameworkService.exe:*:Enabled:Framework Service "C:\Programme\Brother\Brmfl07a\FAXRX.exe" = C:\Programme\Brother\Brmfl07a\FAXRX.exe:*:Enabled:FAXRX.EXE -- (Brother Industries Ltd.) "C:\Programme\wincmd\TOTALCMD.EXE" = C:\Programme\wincmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows -- (Ghisler Software GmbH) "C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.) "C:\Programme\McAfee\Common Framework\FrameworkService.exe" = C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service -- (McAfee, Inc.) "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation) "C:\novell\GroupWise\grpwise.exe" = C:\novell\GroupWise\grpwise.exe:*:Enabled:Novell GroupWise -- (Novell, Inc.) "C:\novell\GroupWise\notify.exe" = C:\novell\GroupWise\notify.exe:*:Enabled:Novell Notify -- (Novell, Inc.) "C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager "C:\Programme\Brother\Brmfl08e\FAXRX.exe" = C:\Programme\Brother\Brmfl08e\FAXRX.exe:*:Enabled:FAXRX.EXE -- () "C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe" = C:\Programme\A-Trust GmbH\Bürgerkartensoftware\acSecurityLayer.exe:*:Enabled:A-Trust Buergerkartenumgebung -- (A-Trust GmbH) "C:\Programme\A-Trust GmbH\Bürgerkartensoftware\Einstellungen.exe" = C:\Programme\A-Trust GmbH\Bürgerkartensoftware\Einstellungen.exe:*:Enabled:A-Trust Buergerkartenumgebung - Einstellungen -- (A-Trust GmbH) "F:\_HTTrack\WinHTTrack.exe" = F:\_HTTrack\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Copy Websites to Your Computer "F:\__HTTrack 3.46-1\WinHTTrack.exe" = F:\__HTTrack 3.46-1\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Copy Websites to Your Computer "C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH) "C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH) "C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{003447F5-0058-4B77-9C1E-50488F77C4A7}" = Brother P-touch Editor 4.2 "{02570AE0-BEE0-4A6C-BE3F-D806E9F2EA17}" = ScanSoft PaperPort 11 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{08610298-29AE-445B-B37D-EFBE05802967}" = LWS Pictures And Video "{0C6EC504-2794-4992-BE14-2F57378C1183}" = FreeCAD 0.7 "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{1529FCC1-F2EE-4F36-B6FF-20EF59473EDD}" = GroupWise "{15634701-BACE-4449-8B25-1567DA8C9FD3}" = CameraHelperMsi "{1651216E-E7AD-4250-92A1-FB8ED61391C9}" = LWS Help_main "{174A3B31-4C43-43DD-866F-73C9DB887B48}" = LWS Twitter "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86 "{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime "{21DF0294-6B9D-4741-AB6F-B2ABFBD2387E}" = LWS YouTube Plugin "{21F5098D-0C9E-4637-AD49-F037F6275990}" = NMAS-Client-Komponenten "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37 "{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer "{2C42ED1E-6315-4E63-89E6-057EA114EBB8}" = MetaFrame Presentation Server Client "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35C03C04-3F1F-42C2-A989-A757EE691F65}" = McAfee VirusScan Enterprise "{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = erLT "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12 "{5242772F-7BBA-4DAE-B870-5396580A2CB1}" = DataFlash.GW.MimeLib.Lic.Generator "{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM "{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0 "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2 "{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic "{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2 "{6E315D6D-0F1C-4C27-920B-807B4F57C8B2}" = Brother MFL-Pro Suite MFC-5890CN "{6F76EC3C-34B1-436E-97FB-48C58D7BEDCD}" = LWS Gallery "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{72D9B3F4-52F1-4C66-835F-A703BFE16AE1}" = GroupWise "{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution "{74307C3F-EBD4-11D4-A4D9-0010A4C3AFF0}" = Macromedia HomeSite 5 "{7B63B2922B174135AFC0E1377DD81EC2}" = "{7CCC6E23-0E35-480B-8F0C-8D06F882D5D3}" = Brother QL-Series User's Guide "{83C8FA3C-F4EA-46C4-8392-D3CE353738D6}" = LWS Launcher "{83F3EED2-DDE2-4434-8FBE-9D2A1E7C2BC9}" = Multi-Card Reader & Flash Disk "{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support "{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 "{86F5F7BB-F6B9-484C-9863-6029B73DC8AC}" = DataFlash DFMail-Components 1.6 "{8937D274-C281-42E4-8CDB-A0B2DF979189}" = LWS Webcam Software "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver "{8B4AE751-7055-4518-87B0-E148A8D50D0A}" = Macromedia FreeHand MX "{8ED262EE-FC73-47A9-BB86-D92223246881}" = PowerChute Personal Edition 3.0.2 "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90120000-00D1-0407-0000-0000000FF1CE}" = Microsoft Office Access database engine 2007 (German) "{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In "{90510409-6D54-11D4-BEE3-00C04F990354}" = Microsoft Visio Professional 2002 [English] "{90849E84-F026-4638-A184-E6FCFD472C34}" = Brother P-touch Software "{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}" = Nokia PC Suite "{930B2432-43D4-11D5-9871-00C04F8EEB39}" = Macromedia Fireworks MX "{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195 "{98E9B724-0E62-4812-B6CC-C6A228BBC562}" = Brother P-touch Address Book 1.0 "{9B427732-573E-4E78-B6FA-AC3E5A218BA2}" = NMAS Client "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{9DAEA76B-E50F-4272-A595-0124E826553D}" = LWS WLM Plugin "{9E491AB7-4589-48CA-9CBB-874CB2788391}" = Studio 9 "{A05B0200-9A48-452D-A7CA-F4723B3350CF}" = XML Spy Suite 4.3 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite "{A790BEB1-BCCF-4EC6-807B-5708B36E8A79}" = Intel(R) PROSet "{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update "{AC76BA86-0000-7EC8-7489-000000000603}" = Adobe Acrobat and Reader 6.0.3 Update "{AC76BA86-0000-7EC8-7489-000000000604}" = Adobe Acrobat and Reader 6.0.4 Update "{AC76BA86-0000-7EC8-7489-000000000605}" = Adobe Acrobat and Reader 6.0.5 Update "{AC76BA86-1033-F400-7760-000000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch "{AD3AED10-0F09-11D3-93D8-0008C7392DD7}" = GroupWise WebAccess6.0 "{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86 "{B0255743-165B-4BD5-8DA8-37DFB9930015}" = Norton Ghost "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support "{B9A5A789-D491-49FB-958C-BFEC2C11BB1D}" = NMAS Challenge Response Method "{B9C9DB4C-6D77-4AE9-AD1C-C708C23239A0}" = Nokia Connectivity Cable Driver "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D40EB009-0499-459c-A8AF-C9C110766215}" = Logitech Webcam Software "{D8E9CA51-F0C2-4FBC-95C6-BECC8C83F04D}" = VMware Movie Decoder "{DF899B78-196A-4184-9A3C-4A0F54C84E6C}" = GroupWise "{E05E8183-866A-11D3-97DF-0000F8D8F2E9}" = Symantec pcAnywhere "{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{E8C21197-24A5-4BA2-BBD1-009B640E8600}" = DameWare Mini Remote Control "{E9D427B2-09ED-4178-A9BF-E5308005EA49}" = GwMailMerge "{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0 "{EED027B7-0DB6-404B-8F45-6DFEE34A0441}" = LWS Video Mask Maker "{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS "{F02DBC5D-33E3-45E9-B0F8-B7745229ED1C}" = NICI (Shared) U.S./Worldwide (128 bit) (2.6.8-2) "{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX "{F843C6A3-224D-4615-94F8-3C461BD9AEA0}" = Jasc Paint Shop Pro 9 "{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs "{FF167195-9EE4-46C0-8CD7-FBA3457E88AB}" = LWS Facebook "05B59228C7E1C21DFBE89260F879BD95880548D8" = Windows-Treiberpaket - Nokia Modem (10/05/2009 4.2) "504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) "7-Zip" = 7-Zip 4.42 "8CDCFB95BB84DD9C0F88F22266A0CA86035E55BA" = Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.4) "a.sign Bürgerkartensoftware" = a.sign Bürgerkartensoftware 1.4.1.9 "a.sign Client" = a.sign Client 1.2.8.0 "a.sign PDF" = a.sign PDF 1.11.0.0 "Ad-Aware SE Professional" = Ad-Aware SE Professional "Adobe Acrobat 7.0 Professional - EFG" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Adobe SVG Viewer" = Adobe SVG Viewer 3.0 "AdRem Free Remote Console for NetWare" = AdRem Free Remote Console for NetWare "Advanced CD Ripper Pro_is1" = Advanced CD Ripper Pro 2.40 "Advansys Formativ Studio" = Advansys Formativ Studio "asignPDFverify" = asignPDFverify 1.0.5.0 "ASUS Probe V2.23.06" = ASUS Probe V2.23.06 "ATI Display Driver" = ATI Display Driver "Audio Recorder Deluxe_is1" = Audio Recorder Deluxe "Autodesk DWF Viewer" = Autodesk DWF Viewer "AVM ISDN CAPI Port" = AVM ISDN CAPI Port "C1RPTING" = Berichterstellungs-Snapin "CamStudio" = CamStudio "CloneCD" = CloneCD "CONSOLE1" = ConsoleOne 1.3.6h "DBXanalyzer" = DBXanalyzer "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "DivX Setup" = DivX-Setup "DNSDHCPdDeinstKey" = DNSDHCP "easy2000 Einnahmen-Ausgaben Buchhaltung_is1" = easy2000 Einnahmen-Ausgaben Buchhaltung 2012 "ELBA5 (C:_Programme_ELBA5)" = ELBA5 (C:\Programme\ELBA5) "FlashGet(JetCar)" = FlashGet(JetCar) "Free Videos To DVD_is1" = Free Videos To DVD V 4.0.0 "FRITZ! 2.0" = AVM FRITZ! "FRITZ!X" = AVM FRITZ!X "GetRight" = GetRight "HappyFoto-Designer_is1" = HappyFoto-Designer "Hollywood FX for Studio" = Pinnacle Hollywood FX for Studio "IcoFX_is1" = IcoFX 1.6.4 "Icon to Image Converter" = Icon to Image Converter "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "Image to Icon Converter" = Image to Icon Converter "InCD!UninstallKey" = InCD "InstallShield_{003447F5-0058-4B77-9C1E-50488F77C4A7}" = Brother P-touch Editor 4.2 "InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "InstallShield_{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PowerQuest PartitionMagic 8.0 "InstallShield_{7CCC6E23-0E35-480B-8F0C-8D06F882D5D3}" = Brother QL-Series User's Guide "InstallShield_{98E9B724-0E62-4812-B6CC-C6A228BBC562}" = Brother P-touch Address Book 1.0 "IrfanView" = IrfanView (remove only) "Jasc Paint Shop Pro 9.01 - (9.0.1.1)" = Jasc Paint Shop Pro 9.01 - (9.0.1.1) "LiveReg" = LiveReg (Symantec Corporation) "LiveUpdate" = LiveUpdate 3.2 (Symantec Corporation) "Magic ISO Maker v3.60 (build 0067)" = Magic ISO Maker v3.60 (build 0067) "MailXplorer" = MailXplorer "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000 "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "MRW!UninstallKey" = InCD Reader "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero - Burning Rom!UninstallKey" = Nero OEM "NeroMultiInstaller!UninstallKey" = Nero Suite "NeroVision!UninstallKey" = Nero Digital "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Nokia PC Suite" = Nokia PC Suite "Novell Client for Windows" = Novell Client für Windows 2000 "OutlookExpressDatensicherung" = OEBackup - Outlook Express Datensicherung (Vollversion) "Power Scan" = Power Scan "Print Message" = Formativ Print Message "PROSet" = Intel(R) PRO Network Adapters and Drivers "RealPlayer 6.0" = RealPlayer "SpeedFan" = SpeedFan (remove only) "TeamViewer 7" = TeamViewer 7 "TopStyle Lite (Version 2)" = TopStyle Lite (Version 2) "Totalcmd" = Total Commander (Remove or Repair) "VLC media player" = VLC media player 2.0.4 "Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 "Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9 "Wincmd" = Windows Commander (Remove or Repair) "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinISO_is1" = WinISO 5.3 "WinRAR archiver" = WinRAR archiver "WinZip" = WinZip "WinZip Self-Extractor" = WinZip Self-Extractor "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "WMS" = Windows NT Messaging "Wudf01007" = Microsoft User-Mode Driver Framework Feature Pack 1.7 "WZCLINE" = WinZip Command Line Support Add-On 1.1 SR-1 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{EF781A5C-58F5-4BFD-87F9-E4F14D382F25}" = Pinnacle Instant DVD Recorder "FileZilla Client" = FileZilla Client 3.5.3 "InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 07.12.2012 09:46:00 | Computer Name = INT3000 | Source = MySQL | ID = 100 Description = Error - 10.12.2012 06:18:19 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051 Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet. Thread-ID: 4076 (0xfec) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100 / 5400.1158 Object being scanned = \Device\HarddiskVolume1\WINDOWS\system32\termsrv.dll by C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe 4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0) Error - 10.12.2012 06:19:00 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008 Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 5 Sekunden neu gestartet. Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100 Description = Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100 Description = Error - 10.12.2012 06:57:11 | Computer Name = INT3000 | Source = MySQL | ID = 100 Description = Error - 10.12.2012 08:35:33 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051 Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet. Thread-ID: 2956 (0xb8c) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100 / 5400.1158 Object being scanned = \Device\HarddiskVolume1\Programme\McAfee\VirusScan Enterprise\AdsLokUU.Dll by C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe 4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0) Error - 10.12.2012 08:35:34 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008 Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 10 Sekunden neu gestartet. Error - 10.12.2012 18:41:26 | Computer Name = INT3000 | Source = McLogEvent | ID = 5051 Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe brauchte länger als 90000 ms, um eine Anfrage auszuführen. Der Vorgang wird beendet. Thread-ID: 2604 (0xa2c) Thread-Adresse: 0x7C91E514 Thread-Nachricht: Build VSCORE.13.3.1.100 / 5400.1158 Object being scanned = \Device\HarddiskVolume1\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat.dll by C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe 4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0) Error - 10.12.2012 18:41:26 | Computer Name = INT3000 | Source = McLogEvent | ID = 1008 Description = Der McShield-Service wurde unerwartet beendet. Details hierzu erhalten Sie in Ereignis 5019 oder 5051. Der McShield-Service wird in 5 Sekunden neu gestartet. [ System Events ] Error - 10.12.2012 06:15:26 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Bluetooth-Gerät (RFCOMM-Protokoll-TDI)" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 10.12.2012 06:15:26 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "ASInsHelp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 10.12.2012 06:19:00 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034 Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 10.12.2012 08:35:34 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034 Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits 2 Mal passiert. Error - 10.12.2012 10:43:12 | Computer Name = INT3000 | Source = Print | ID = 6161 Description = Das Dokument file://C:\Dokumente und Einstellungen\Markus\Lokale Einstellung, im Besitz von Markus, konnte nicht auf dem Drucker Brother MFC-465CN (LAN) gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei in Bytes: 327680. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\INT3000. Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 2250 (0x8ca). Error - 10.12.2012 10:49:27 | Computer Name = INT3000 | Source = Print | ID = 6161 Description = Das Dokument file://C:\Dokumente und Einstellungen\Markus\Lokale Einstellung, im Besitz von Markus, konnte nicht auf dem Drucker Brother MFC-465CN (LAN) gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei in Bytes: 327680. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\INT3000. Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 2250 (0x8ca). Error - 10.12.2012 18:26:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Bluetooth-Gerät (RFCOMM-Protokoll-TDI)" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 10.12.2012 18:26:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "ASInsHelp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 10.12.2012 18:27:20 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: IntelIde ultra Error - 10.12.2012 18:41:27 | Computer Name = INT3000 | Source = Service Control Manager | ID = 7034 Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. < End of report > Ich hoffe, dass ich nichts aus der Checkliste übersehen habe, das für Euch Helfer hilfreich wäre und bedanke mich schon jetzt im Voraus für die hier gebotene Möglichkeit und Unterstützung! |
11.12.2012, 16:03 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Polizei-Trojaner Österreich, Trojan.Ransom Hallo und
__________________Code:
ATTFilter Windows XP Professional Edition O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{482A7A30-ACD5-4A61-A821-56A6CDC4C455}: NameServer = 195.3.96.67,62.146.4.100
__________________ |
11.12.2012, 16:26 | #3 |
| Polizei-Trojaner Österreich, Trojan.Ransom Hallo cosinus,
__________________ja, es handelt sich genau genommen um einen Büro-/Firmenrechner - bin Freelancer. Ist das ein Problem? Ich hatte diese Frage bereits bei einem Posting gesehen, aber nichts gelesen, dass das nicht "erlaubt" oder "ungern gesehen" wäre... |
11.12.2012, 16:43 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Polizei-Trojaner Österreich, Trojan.Ransom Firmenrechner werden hier eigentlich nicht bereinigt Siehe => http://www.trojaner-board.de/108422-...-anfragen.html Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
11.12.2012, 16:47 | #5 |
| Polizei-Trojaner Österreich, Trojan.Ransom Nun leider habe ich keine eigene IT-Abteilung, auch wenn ich's gerne hätte. Heißt das im Klartext nun "Nein"? Wäre schade, aber müßte ich wohl akzeptieren. |
11.12.2012, 16:50 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Polizei-Trojaner Österreich, Trojan.Ransom Sagmal hast du den Text in dem Kasten überhaupt nicht gelesen?! Ok, das mit der Voraussetzung können wir mal ignorieren, aber das darunter hast du zu Kenntnis genommen?
__________________ --> Polizei-Trojaner Österreich, Trojan.Ransom |
11.12.2012, 17:02 | #7 |
| Polizei-Trojaner Österreich, Trojan.Ransom Selbstverständlich habe ich den Text gelesen! Du sprichst konkret von den Gefahren betreffend Kundendaten oder von der Mitteilung im ersten Posting? a) Es sind keine Kundendaten auf dem Rechner gespeichert; ich verwalte Zugangsdaten altmodisch handschriftlich. Alle anderen Daten sind auf Platten/Partitionen <> C: und würden ja auch nach einem Neuaufsetzen wieder an selbiger Stelle vorhanden sein. b) Dieser Passus war mir unbekannt, obwohl mir die idente Frage in einem Posting betreffend WinXP Pro bereits aufgefallen ist. |
11.12.2012, 17:04 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Polizei-Trojaner Österreich, Trojan.RansomZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
11.12.2012, 17:42 | #9 |
| Polizei-Trojaner Österreich, Trojan.Ransom Also soll ich Deiner Meinung nach die SYS-Platte neu machen und aus einem Backup wiederherstellen? Wieviele Tage vorher? Könnte der Virus/Trojaner evtl. auch "geschlummert haben"? Nicht, dass ich alles neu mache und dann war das Ding bereits in einem Backup vorhanden.... |
11.12.2012, 22:01 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Polizei-Trojaner Österreich, Trojan.RansomZitat:
Es geht immer noch um die Kundendaten die ja angeblich nicht auf C liegen und daraf entgegnete ich, dass Tools wie zB OTL auch Dateien auflisten können die NICHT auf C sind
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Polizei-Trojaner Österreich, Trojan.Ransom |
32 bit, 7-zip, ad-aware, adware.cydoor, aufrufe, bho, browser, checkliste, einstellungen, error, firefox, flash player, fontcache, format, frage, ftp, helper, helper.exe, hilfreich, iexplore.exe, internet, logfile, mmc.exe, mozilla, netzwerk, plug-in, registry, remote control, rundll, scan, sekunden, software, symantec, system, system neu, total commander, u.s./worldwide, udp, windows internet, wlan, zahlung |