Falscher Zwang-Antivirus Update. Hijack?

tegales · 30.11.2009, 00:14

Hallo, ich glaube mein Rechner ist heute gehijacked(?) worden.
Während des Surfens mit Firefox, erschien in der Info-Taskleiste unten rechts das MS Virus-shield-Symbol. Popup Fenster mit Pseudovirenscans haben mich immer wieder zu einer kostenpflichtigen Antivirus Pro (oder so ähnlich) Software zwangsweitergeleitet. Systemwiederherstellung, Taskmanager und Antivir wurden blockiert, da angeblich infiziert. Nach Reset-Neustart immer noch das gleiche.

Ich konnte mich retten, indem ich direkt beim Reset-Neustart die Systemwiederherstellung gestartet habe, bevor sich das "böse" Programm wieder automatisch geladen hat und alles blockiert hat.

Jetzt scheint wieder alles ok. Aber ich weiß nicht, was das war. Den Link für den angeblichen, kostenpflichtigen AntivirusPro-update hab ich leider nicht notiert. Mein Avira Antivir findet nichts mehr. Anti-Malware hat zwei Sachen gefunden, weiss aber nicht, ob das was anderes ist.

Weiß jemand was das für eine hartnäckige Malware war? Und wo die Gefahr herkommt?

Danke im Voraus
Albert

PS. Anti-Malware logfile:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3258
Windows 5.1.2600 Service Pack 3

29.11.2009 13:47:36
mbam-log-2009-11-29 (13-47-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 109152
Laufzeit: 7 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Al\Lokale Einstellungen\Temp\576.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Larusso · 30.11.2009, 00:37

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code:

ATTFilter

deine Logfile

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

schritt 3

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Manche Logfiles sind sehr lange. Bitte in mehrere Posts aufteilen. danke

tegales · 30.11.2009, 04:47

Sorry für meine unvollständige Anfrage.

Laut Anti-Malware Scan war/ist es möglicherweise der Trojan.FakeAlert.
Der intensive scan hat ihn auch noch in der Restore-Datei gefunden:

Code:

ATTFilter

C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP39\A0005859.exe (Trojan.FakeAlert)

Hier meine Daten:

OTL 1. Teil

Code:

ATTFilter

OTL logfile created on: 29.11.2009 19:53:52 - Run 1
OTL by OldTimer - Version 3.1.11.3     Folder = C:\Dokumente und Einstellungen\A_\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,17 Mb Total Physical Memory | 574,58 Mb Available Physical Memory | 56,60% Memory free
2,39 Gb Paging File | 2,03 Gb Available in Paging File | 85,16% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 81,65 Gb Total Space | 50,24 Gb Free Space | 61,53% Space Free | Partition Type: NTFS
Drive D: | 62,47 Gb Total Space | 62,41 Gb Free Space | 99,90% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: DFEPC
Current User Name: A_
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2009.11.29 19:28:18 | 00,536,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Downloads\OTL.exe
PRC - [2009.10.29 16:42:27 | 00,557,056 | ---- | M] (BitLeader) -- C:\Programme\lg_fwupdate\fwupdate.exe
PRC - [2009.10.10 22:17:36 | 00,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jusched.exe
PRC - [2009.10.10 22:17:35 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe
PRC - [2009.07.21 08:34:28 | 00,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.19 04:36:18 | 00,240,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
PRC - [2009.05.13 10:48:18 | 00,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 07:08:43 | 00,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.02.13 19:59:24 | 17,508,864 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RTHDCPL.EXE
PRC - [2009.01.23 02:49:53 | 00,416,768 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDCtrl.exe
PRC - [2008.12.17 13:59:50 | 00,622,592 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
PRC - [2008.12.04 07:38:06 | 00,114,688 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsTray.exe
PRC - [2008.11.14 08:55:56 | 00,376,832 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
PRC - [2008.09.02 01:26:16 | 00,604,776 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2008.09.02 01:26:16 | 00,346,720 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
PRC - [2008.08.18 01:33:31 | 00,536,576 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
PRC - [2008.05.20 19:56:24 | 00,094,208 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsEPCMon.exe
PRC - [2008.04.14 07:00:00 | 01,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 07:00:00 | 00,013,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wscntfy.exe
PRC - [2007.12.19 10:08:12 | 00,159,744 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\hkcmd.exe
PRC - [2007.12.19 10:08:08 | 00,135,168 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\igfxtray.exe
PRC - [2007.12.19 10:07:40 | 00,163,840 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\igfxext.exe
PRC - [2007.12.19 10:07:30 | 00,249,856 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\igfxsrvc.exe
PRC - [2007.12.05 06:34:52 | 00,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2007.05.13 21:54:36 | 00,272,024 | ---- | M] () -- C:\Programme\CyberLink\Shared Files\RichVideo.exe
PRC - [2007.03.14 15:01:30 | 00,071,216 | ---- | M] (Cyberlink Corp.) -- C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
PRC - [2007.01.04 13:48:50 | 00,112,152 | ---- | M] (InterVideo) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2009.11.29 19:28:18 | 00,536,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Downloads\OTL.exe
MOD - [2009.02.07 10:26:08 | 00,268,800 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDApix.dll
MOD - [2008.09.02 01:25:10 | 00,073,728 | ---- | M] (Broadcom Corporation.) -- C:\WINDOWS\system32\BtMmHook.dll
MOD - [2008.09.02 01:23:22 | 00,040,960 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found --  -- (Norton Internet Security)
SRV - [2009.11.08 23:53:30 | 00,133,104 | ---- | M] (Google Inc.) -- C:\Programme\Google\Update\GoogleUpdate.exe -- (gupdate1ca60f89c9692b0) Google Update Service (gupdate1ca60f89c9692b0)
SRV - [2009.10.10 22:17:35 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.07.21 08:34:28 | 00,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.19 04:36:18 | 00,240,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2009.05.13 10:48:18 | 00,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.12.08 11:01:58 | 00,533,344 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2008.11.03 19:06:28 | 00,441,712 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.09.02 01:26:16 | 00,346,720 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2007.12.05 06:34:52 | 00,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.09.17 03:36:18 | 00,800,040 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- (NBService)
SRV - [2007.06.27 12:04:00 | 00,279,848 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.05.13 21:54:36 | 00,272,024 | ---- | M] () -- C:\Programme\CyberLink\Shared Files\RichVideo.exe -- (RichVideo) Cyberlink RichVideo Service(CRVS)
SRV - [2007.01.04 13:48:50 | 00,112,152 | ---- | M] (InterVideo) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
SRV - [2006.10.26 08:03:08 | 00,145,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://news.google.de"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:7
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.11.08 13:43:40 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.10.11 03:40:27 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.10.21 14:12:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.10.11 03:40:28 | 00,000,000 | ---D | M]
 
[2009.10.21 14:07:17 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Mozilla\Extensions
[2009.11.29 08:28:17 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Mozilla\Firefox\Profiles\fmfwrlf5.default\extensions
[2009.11.20 12:56:21 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Mozilla\Firefox\Profiles\fmfwrlf5.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2009.10.28 13:14:06 | 00,001,340 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Mozilla\Firefox\Profiles\fmfwrlf5.default\searchplugins\wikipedia-en.xml
[2009.11.29 08:28:17 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.24 14:25:19 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.08.24 14:25:19 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.08.24 14:25:19 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.08.24 14:25:19 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.08.24 14:25:19 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: (820 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe (ELANTECH Devices Corp.)
O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe (Intel Corporation)
O4 - HKLM..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe (Intel Corporation)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (BitLeader)
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe (Intel Corporation)
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.12.29 17:33:43 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (*) -  File not found
O35 - comfile [open] -- "%1" %* File not found
O35 - exefile [open] -- "%1" %* File not found
 
========== Files/Folders - Created Within 14 Days ==========
 
[2009.11.29 13:34:41 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Malwarebytes
[2009.11.29 13:34:34 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009.11.29 13:34:30 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009.11.29 13:34:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2009.11.29 13:34:29 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2009.11.29 13:29:55 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\A_\Recent
[2009.11.29 13:25:47 | 00,000,000 | ---D | C] -- C:\Programme\CCleaner
[2009.11.29 12:17:48 | 00,000,000 | ---D | C] -- C:\Config.Msi
[2009.11.28 19:11:23 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Move Networks
[2009.11.28 02:29:59 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\dwhelper
[2009.11.25 10:59:33 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Desktop\Aug***
[2009.11.25 10:58:50 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Desktop\bb***
[2009.11.25 04:10:12 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Desktop\Lit***r
[2009.11.21 13:39:27 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Desktop\boc***
[2009.11.19 17:29:15 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Google
[2009.11.17 09:35:07 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\.spss
[2009.11.17 09:27:24 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\SafeNet Sentinel
[2009.11.17 09:25:05 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
[2009.11.17 09:24:41 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data
[2009.11.17 09:21:19 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SPSS
[2009.11.17 09:21:15 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\SPSS
[2009.11.17 09:20:51 | 00,000,000 | ---D | C] -- C:\Programme\SPSSInc
[2009.11.17 06:08:02 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Lokale Einstellungen\Anwendungsdaten\Temp
[2009.11.16 19:06:37 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\HP desktop
[2009.11.16 19:05:11 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\InterVideo
[2009.11.15 20:08:16 | 00,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Statis***
[2009.11.15 20:07:22 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\WW***
[2009.11.15 20:05:24 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Wis***
[2009.11.15 20:03:48 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Inf***
[2009.11.15 19:59:32 | 00,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Eigene T***
[2009.11.15 19:55:47 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\A***ivers
[2009.11.15 19:55:36 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Lit***
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

tegales · 30.11.2009, 04:50

OTL 2.Teil

Code:

ATTFilter

========== Files - Modified Within 14 Days ==========
 
[2009.11.29 19:33:00 | 00,000,333 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2009.11.29 19:19:42 | 00,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2009.11.29 19:19:08 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009.11.29 19:19:05 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009.11.29 19:19:03 | 10,645,54496 | -HS- | M] () -- C:\hiberfil.sys
[2009.11.29 19:18:12 | 03,158,016 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\ntuser.dat
[2009.11.29 19:18:12 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\A_\ntuser.ini
[2009.11.29 19:08:01 | 00,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2009.11.29 13:10:50 | 00,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk
[2009.11.27 00:24:00 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2009.11.25 14:31:46 | 00,061,952 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Desktop\Coa***.doc
[2009.11.25 14:07:00 | 00,042,126 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Desktop\BB***6.docx
[2009.11.25 10:03:42 | 00,002,591 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Desktop\Microsoft Office Word 2007.lnk
[2009.11.25 03:41:48 | 00,075,316 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Desktop\dea***.spv
[2009.11.25 03:33:37 | 00,013,312 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.11.22 20:13:59 | 00,044,504 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2009.11.19 17:26:50 | 00,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2009.11.18 05:03:28 | 00,206,512 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.11.17 09:51:21 | 00,000,000 | ---- | M] () -- C:\law.sp
[2009.11.17 09:25:45 | 00,001,024 | ---- | M] () -- C:\WINDOWS\System32\grcauth2.dll
[2009.11.17 09:25:45 | 00,001,024 | ---- | M] () -- C:\WINDOWS\System32\grcauth1.dll
[2009.11.17 09:25:45 | 00,000,114 | ---- | M] () -- C:\WINDOWS\System32\prsgrc.tgz
[2009.11.17 09:25:45 | 00,000,100 | ---- | M] () -- C:\WINDOWS\System32\prsgrc.dll
[2009.11.17 09:20:24 | 00,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.tgz
[2009.11.17 09:20:24 | 00,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.dll
[2009.11.17 09:20:24 | 00,000,219 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.tgz
[2009.11.17 09:20:24 | 00,000,205 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.dll
[2009.11.17 09:20:24 | 00,000,016 | -H-- | M] () -- C:\WINDOWS\System32\servdat.slm
[2009.11.17 09:14:45 | 00,461,240 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2009.11.17 09:14:45 | 00,443,114 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009.11.17 09:14:45 | 00,085,942 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2009.11.17 09:14:45 | 00,072,380 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2009.11.17 09:14:44 | 01,074,602 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009.11.17 06:09:01 | 00,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2009.11.16 05:25:59 | 00,007,217 | ---- | M] () -- C:\Dokumente und Einstellungen\A_\Desktop\Re.eml
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2009.11.28 21:42:45 | 03,158,016 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\ntuser.dat
[2009.11.25 14:25:09 | 00,061,952 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\Coa***s.doc
[2009.11.25 10:47:16 | 00,042,126 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\BB***6.docx
[2009.11.25 03:41:47 | 00,075,316 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\dea***.spv
[2009.11.19 17:26:50 | 00,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2009.11.17 17:06:09 | 00,341,729 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\Co***REV.pdf
[2009.11.17 15:35:04 | 01,839,307 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\Kos***.jpg
[2009.11.17 15:13:01 | 00,014,962 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Kopie von BGA***.docx
[2009.11.17 09:51:21 | 00,000,000 | ---- | C] () -- C:\law.sp
[2009.11.17 09:25:45 | 00,001,024 | ---- | C] () -- C:\WINDOWS\System32\grcauth2.dll
[2009.11.17 09:25:45 | 00,001,024 | ---- | C] () -- C:\WINDOWS\System32\grcauth1.dll
[2009.11.17 09:25:45 | 00,000,114 | ---- | C] () -- C:\WINDOWS\System32\prsgrc.tgz
[2009.11.17 09:25:45 | 00,000,100 | ---- | C] () -- C:\WINDOWS\System32\prsgrc.dll
[2009.11.17 09:20:24 | 00,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.tgz
[2009.11.17 09:20:24 | 00,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2009.11.17 09:20:24 | 00,000,219 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.tgz
[2009.11.17 09:20:24 | 00,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2009.11.17 09:20:24 | 00,000,016 | -H-- | C] () -- C:\WINDOWS\System32\servdat.slm
[2009.11.16 19:20:33 | 00,096,117 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\adress thunder.ldif
[2009.11.16 05:25:59 | 00,007,217 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Desktop\Re.eml
[2009.11.15 20:06:55 | 00,132,608 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\P***Mat***fs_2.doc
[2009.11.15 20:06:55 | 00,039,424 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\P***Dif***corr.doc
[2009.11.15 20:06:55 | 00,024,576 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\P***lHbes.doc
[2009.11.15 20:06:27 | 00,138,752 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\Mat***ym.doc
[2009.11.15 20:05:40 | 00,108,651 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\KinS***test).sav
[2009.11.15 20:05:40 | 00,107,435 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\KinS***ert.sav
[2009.11.15 20:05:40 | 00,107,435 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\KinS***l_2.sav
[2009.11.15 20:02:11 | 00,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Eigene Dateien\boc***sen.doc
[2009.11.08 23:27:09 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.11.08 23:27:06 | 00,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.10.29 16:41:31 | 00,000,333 | ---- | C] () -- C:\WINDOWS\lgfwup.ini
[2009.10.22 13:36:10 | 00,022,723 | ---- | C] () -- C:\WINDOWS\System32\ssa1ml3.dll
[2009.10.21 17:41:01 | 00,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.10.21 14:30:39 | 00,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2009.10.21 14:13:43 | 00,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\wklnhst.dat
[2008.12.30 11:49:23 | 00,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.12.29 18:16:15 | 00,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2008.12.29 17:17:44 | 00,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008.11.14 12:12:56 | 00,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini
[2008.09.02 01:25:26 | 02,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2008.07.30 13:31:52 | 00,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini
[2005.02.17 06:41:32 | 00,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005.02.17 06:41:30 | 00,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2001.11.14 07:56:00 | 01,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
========== LOP Check ==========
 
[2009.11.08 23:40:22 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\InterVideo
[2009.11.15 16:53:57 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Opera
[2009.10.21 14:12:00 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A_\Anwendungsdaten\Thunderbird
[2009.11.03 07:01:04 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2009.11.17 09:25:05 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
[2009.11.17 09:21:19 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SPSS
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.exe >
 
< %SYSTEMDRIVE%\eventlog.dll /s /md5 >
[2008.04.14 07:00:00 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
[2008.04.14 07:00:00 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
 
< %SYSTEMDRIVE%\scecli.dll /s /md5 >
[2008.04.14 07:00:00 | 00,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
[2008.04.14 07:00:00 | 00,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
 
< %SYSTEMDRIVE%\netlogon.dll /s /md5 >
[2008.04.14 07:00:00 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
[2008.04.14 07:00:00 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
 
< %SYSTEMDRIVE%\cngaudit.dll /s /md5 >
 
< %SYSTEMDRIVE%\sceclt.dll /s /md5 >
 
< %SYSTEMDRIVE%\ntelogon.dll /s /md5 >
 
< %SYSTEMDRIVE%\logevent.dll /s /md5 >
 
< %SYSTEMDRIVE%\iaStor.sys /s /md5 >
 
< %SYSTEMDRIVE%\nvstor.sys /s /md5 >
 
< %SYSTEMDRIVE%\atapi.sys /s /md5 >
[2008.04.13 18:10:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys
[2008.04.13 18:10:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2008.04.14 07:00:00 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys
 
< %SYSTEMDRIVE%\IdeChnDr.sys /s /md5 >
 
< %SYSTEMDRIVE%\viasraid.sys /s /md5 >
 
< %SYSTEMDRIVE%\AGP440.sys /s /md5 >
 
< %SYSTEMDRIVE%\vaxscsi.sys /s /md5 >
 
< %SYSTEMDRIVE%\nvatabus.sys /s /md5 >
< End of report >

Gmer:

Code:

ATTFilter

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-29 21:46:57
Windows 5.1.2600 Service Pack 3
Running: proggi-g-m-e-r.exe; Driver: C:\DOKUME~1\A_\LOKALE~1\Temp\uwdoapow.sys


---- System - GMER 1.0.15 ----

SSDT            F7BAC406                                                                                         ZwCreateKey
SSDT            F7BAC3FC                                                                                         ZwCreateThread
SSDT            F7BAC40B                                                                                         ZwDeleteKey
SSDT            F7BAC415                                                                                         ZwDeleteValueKey
SSDT            F7BAC41A                                                                                         ZwLoadKey
SSDT            F7BAC3E8                                                                                         ZwOpenProcess
SSDT            F7BAC3ED                                                                                         ZwOpenThread
SSDT            F7BAC424                                                                                         ZwReplaceKey
SSDT            F7BAC41F                                                                                         ZwRestoreKey
SSDT            F7BAC410                                                                                         ZwSetValueKey
SSDT            F7BAC3F7                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2DAC                                                             80504648 4 Bytes  CALL B1480110 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtCreateFile + 6               7C91D0B4 4 Bytes  [28, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtCreateFile + B               7C91D0B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenFile + 6                 7C91D5A4 4 Bytes  [68, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenFile + B                 7C91D5A9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcess + 6              7C91D604 4 Bytes  [A8, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcess + B              7C91D609 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcessToken + 6         7C91D614 4 Bytes  CALL 7B91EB1A 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcessToken + B         7C91D619 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcessTokenEx + 6       7C91D624 4 Bytes  [A8, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenProcessTokenEx + B       7C91D629 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThread + 6               7C91D664 4 Bytes  [68, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThread + B               7C91D669 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThreadToken + 6          7C91D674 4 Bytes  [68, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThreadToken + B          7C91D679 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThreadTokenEx + 6        7C91D684 4 Bytes  CALL 7B91EB8B 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtOpenThreadTokenEx + B        7C91D689 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtQueryAttributesFile + 6      7C91D714 4 Bytes  [A8, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtQueryAttributesFile + B      7C91D719 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtQueryFullAttributesFile + 6  7C91D7B4 4 Bytes  CALL 7B91ECB9 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtQueryFullAttributesFile + B  7C91D7B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtSetInformationFile + 6       7C91DC64 4 Bytes  [28, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtSetInformationFile + B       7C91DC69 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtSetInformationThread + 6     7C91DCB4 4 Bytes  [28, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[1416] ntdll.dll!NtSetInformationThread + B     7C91DCB9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtCreateFile + 6               7C91D0B4 4 Bytes  [28, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtCreateFile + B               7C91D0B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenFile + 6                 7C91D5A4 4 Bytes  [68, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenFile + B                 7C91D5A9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcess + 6              7C91D604 4 Bytes  [A8, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcess + B              7C91D609 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcessToken + 6         7C91D614 4 Bytes  CALL 7B91EB1A 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcessToken + B         7C91D619 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcessTokenEx + 6       7C91D624 4 Bytes  [A8, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenProcessTokenEx + B       7C91D629 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThread + 6               7C91D664 4 Bytes  [68, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThread + B               7C91D669 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThreadToken + 6          7C91D674 4 Bytes  [68, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThreadToken + B          7C91D679 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThreadTokenEx + 6        7C91D684 4 Bytes  CALL 7B91EB8B 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtOpenThreadTokenEx + B        7C91D689 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtQueryAttributesFile + 6      7C91D714 4 Bytes  [A8, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtQueryAttributesFile + B      7C91D719 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtQueryFullAttributesFile + 6  7C91D7B4 4 Bytes  CALL 7B91ECB9 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtQueryFullAttributesFile + B  7C91D7B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtSetInformationFile + 6       7C91DC64 4 Bytes  [28, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtSetInformationFile + B       7C91DC69 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtSetInformationThread + 6     7C91DCB4 4 Bytes  [28, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[3276] ntdll.dll!NtSetInformationThread + B     7C91DCB9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtCreateFile + 6               7C91D0B4 4 Bytes  [28, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtCreateFile + B               7C91D0B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenFile + 6                 7C91D5A4 4 Bytes  [68, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenFile + B                 7C91D5A9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcess + 6              7C91D604 4 Bytes  [A8, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcess + B              7C91D609 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcessToken + 6         7C91D614 4 Bytes  CALL 7B91EB1A 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcessToken + B         7C91D619 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcessTokenEx + 6       7C91D624 4 Bytes  [A8, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenProcessTokenEx + B       7C91D629 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThread + 6               7C91D664 4 Bytes  [68, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThread + B               7C91D669 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThreadToken + 6          7C91D674 4 Bytes  [68, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThreadToken + B          7C91D679 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThreadTokenEx + 6        7C91D684 4 Bytes  CALL 7B91EB8B 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtOpenThreadTokenEx + B        7C91D689 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtQueryAttributesFile + 6      7C91D714 4 Bytes  [A8, 00, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtQueryAttributesFile + B      7C91D719 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtQueryFullAttributesFile + 6  7C91D7B4 4 Bytes  CALL 7B91ECB9 
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtQueryFullAttributesFile + B  7C91D7B9 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtSetInformationFile + 6       7C91DC64 4 Bytes  [28, 01, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtSetInformationFile + B       7C91DC69 1 Byte  [E2]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtSetInformationThread + 6     7C91DCB4 4 Bytes  [28, 02, 15, 00]
.text           C:\Programme\Google\Chrome\Application\chrome.exe[4092] ntdll.dll!NtSetInformationThread + B     7C91DCB9 1 Byte  [E2]

---- Devices - GMER 1.0.15 ----

Device                                                                                                           Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                           Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device                                                                                                           mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

AttachedDevice                                                                                                   fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

tegales · 30.11.2009, 04:55

EXTRA 1.Teil:

Code:

ATTFilter

OTL Extras logfile created on: 29.11.2009 19:53:52 - Run 1
OTL by OldTimer - Version 3.1.11.3     Folder = C:\Dokumente und Einstellungen\A*\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,17 Mb Total Physical Memory | 574,58 Mb Available Physical Memory | 56,60% Memory free
2,39 Gb Paging File | 2,03 Gb Available in Paging File | 85,16% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 81,65 Gb Total Space | 50,24 Gb Free Space | 61,53% Space Free | Partition Type: NTFS
Drive D: | 62,47 Gb Total Space | 62,41 Gb Free Space | 99,90% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: DFEPC
Current User Name: A_
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~4\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"E:\CDS\Nero\Installation\SetupX.exe" = E:\CDS\Nero\Installation\SetupX.exe:*:Enabled:Nero ProductSetup -- File not found
"C:\Programme\SPSSInc\Statistics17\statistics.exe" = C:\Programme\SPSSInc\Statistics17\statistics.exe:*:Disabled:Statistics17:exe -- (SPSS Inc)
"C:\Programme\SPSSInc\Statistics17\statistics.com" = C:\Programme\SPSSInc\Statistics17\statistics.com:*:Disabled:Statistics17:com -- (SPSS Inc)
"C:\Programme\SPSSInc\Statistics17\SPSSWinWrapIDE.exe" = C:\Programme\SPSSInc\Statistics17\SPSSWinWrapIDE.exe:*:Disabled:SPSS Basic Script Editor -- (SPSS Inc.)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1596098A-FCEC-48F0-B7C7-08A31B771031}" = Nero 7 Essentials
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Suite
"{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 17
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3A608351-5980-4A47-AE08-3742C55B4016}" = Windows Live Family Safety
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{46B65150-F8AA-42F2-94FB-2729A8AE5F7E}" = SPSS Statistics 17.0
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{566BAEC0-74CB-4ACC-9E18-8779AC974FB0}" = Windows Live Toolbar
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6179550A-3E7C-499E-BCC9-9E8113E0A285}" = LG ODD Auto Firmware Update
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{82F2B38B-1426-443D-874C-AC25675E7BEB}" = Windows Live Mail
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Azurewave Wireless LAN
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{90120000-0012-0000-0000-0000000FF1CE}_STANDARD_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0012-0000-0000-0000000FF1CE}_STANDARD_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}_STANDARD_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}_STANDARD_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}_STANDARD_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}_STANDARD_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}_STANDARD_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}_STANDARD_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{9074AFC0-CFDA-11DE-B484-005056806466}" = Google Earth
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBCF859F-04BE-4A07-B6FA-F4FAD69EF1ED}" = LightScribe System Software  1.10.27.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Eee Storage" = Eee Storage 1.2.17.333
"Elantech" = ETDWare PS/2-x86 7.0.4.3 WHQL
"FLV Player" = FLV Player 2.0 (build 25)
"Google Chrome" = Google Chrome
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.5)" = Mozilla Firefox (3.5.5)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Samsung ML-1630W Series" = Samsung ML-1630W Series
"STANDARD" = Microsoft Office Standard 2007
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 27.11.2009 21:08:35 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 27.11.2009 21:08:35 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 27.11.2009 21:08:36 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 27.11.2009 21:08:36 | Computer Name = DFEPC | Source = Google Update | ID = 20
Description = 
 
Error - 29.11.2009 14:03:46 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 29.11.2009 14:03:51 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 29.11.2009 14:03:55 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 29.11.2009 14:49:24 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 29.11.2009 14:49:27 | Computer Name = DFEPC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Bei der Zertifikatsverkettung ist ein interner
 Fehler aufgetreten.  .
 
Error - 29.11.2009 20:03:35 | Computer Name = DFEPC | Source = Microsoft Office 12 | ID = 1000
Description = Faulting application winword.exe, version 12.0.6504.5000, stamp 49e7f5b6,
 faulting module olconnector.dll, version 2.0.2313.0, stamp 491c07db, debug? 0, 
fault address 0x0000fd57.
 
[ OSession Events ]
Error - 25.11.2009 15:32:54 | Computer Name = DFEPC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 15
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 25.11.2009 15:33:16 | Computer Name = DFEPC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 8
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 29.11.2009 20:03:28 | Computer Name = DFEPC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 11
 seconds with 0 seconds of active time.  This session ended with a crash.

tegales · 30.11.2009, 04:57

EXTRA 2.Teil:

Code:

ATTFilter

[ System Events ]
Error - 25.11.2009 15:33:15 | Computer Name = DFEPC | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 131.91.31.42 
mit dem Computer mit der  Netzwerkhardwareadresse 00:80:77:05:CB:37 ermittelt. Netzwerkvorgänge
 könnten daher auf diesem  System unterbrochen werden.
 
Error - 25.11.2009 15:33:18 | Computer Name = DFEPC | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 131.91.31.42 
mit dem Computer mit der  Netzwerkhardwareadresse 00:80:77:05:CB:37 ermittelt. Netzwerkvorgänge
 könnten daher auf diesem  System unterbrochen werden.
 
Error - 25.11.2009 16:28:54 | Computer Name = DFEPC | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 131.91.206.222 für die Netzwerkkarte mit der Netzwerkadresse
 0015AFDF7EF2 wurde durch  den DHCP-Server 131.91.204.5 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 25.11.2009 20:34:15 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 131.91.209.142 über die
   Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 26.11.2009 11:02:41 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 26.11.2009 22:58:54 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 27.11.2009 09:56:24 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 27.11.2009 20:56:55 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 28.11.2009 09:54:34 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
Error - 28.11.2009 18:12:12 | Computer Name = DFEPC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.71.0.193 über die 
  Netzwerkkarte mit der Netzwerkadresse 0015AFDF7EF2 ist verloren gegangen.
 
 
< End of report >

Ist der Trojaner weg oder noch versteckt vorhanden?

Danke im Voraus
A.

Falscher Zwang-Antivirus Update. Hijack?

Log-Analyse und Auswertung: Falscher Zwang-Antivirus Update. Hijack?