Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijackthis file kontrolle nach confickeratacke

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.03.2010, 11:13   #1
Michali
 
Hijackthis file kontrolle nach confickeratacke - Cool

Hijackthis file kontrolle nach confickeratacke



Würde mich sehr freuen wen mal jemand das log durchgucken kann was weg kan
es ist windows vista 64 bit
hatte mir nen conficker trojaner eingehandelt
hatte ihn damals mit Dr. Web cureit gekillt

hier der logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:07, on 13.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\SOUNDMAN.EXE
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files (x86)\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AODService - Unknown owner - F:\Program Files (x86)\AMD\OverDrive\AODAssist.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6809 bytes

Alt 13.03.2010, 14:16   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



Hallo und

Hinweis: Du nutzt ein 64-Bit-Windows. Viele Tools, die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64-Bit-Windows nicht kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Mach bitte einen Durchgang mit Malwarebytes und poste das Log.
__________________

__________________

Alt 15.03.2010, 20:26   #3
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



System spinnt machmal rum das de zeichen geht weg und er hängt sic h auf

hier nun der MBM log:


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3869
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

14.03.2010 19:21:46
mbam-log-2010-03-14 (19-21-46).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|Q:\|)
Durchsuchte Objekte: 1202546
Laufzeit: 8 hour(s), 15 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 15.03.2010, 22:56   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



Hast Du das Logfile von Dr. Web noch?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.03.2010, 00:06   #5
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



na wolla da ist das mistding!
auf d der Baeckupplatte: Tool NirCmd1
was ist das?
merldet gerade dr web


Alt 16.03.2010, 03:34   #6
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



hier der avira log
dr web hat nicht alles sntfernt
log id´st als excel gespeichert ->komisch!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 16. März 2010 01:50

Es wird nach 1859675 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista 64 Bit
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Micha
Computername : MICHA-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:26:35
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:26:46
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:26:49
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 01:35:29
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 01:35:30
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 01:35:31
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 01:35:32
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 01:35:32
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 01:35:33
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 01:35:34
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 01:35:34
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 01:35:34
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 15:14:51
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 15:14:52
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 17:24:46
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 00:40:55
VBASE017.VDF : 7.10.5.70 2048 Bytes 12.03.2010 00:40:55
VBASE018.VDF : 7.10.5.71 2048 Bytes 12.03.2010 00:40:55
VBASE019.VDF : 7.10.5.72 2048 Bytes 12.03.2010 00:40:55
VBASE020.VDF : 7.10.5.73 2048 Bytes 12.03.2010 00:40:55
VBASE021.VDF : 7.10.5.74 2048 Bytes 12.03.2010 00:40:55
VBASE022.VDF : 7.10.5.75 2048 Bytes 12.03.2010 00:40:55
VBASE023.VDF : 7.10.5.76 2048 Bytes 12.03.2010 00:40:56
VBASE024.VDF : 7.10.5.77 2048 Bytes 12.03.2010 00:40:56
VBASE025.VDF : 7.10.5.78 2048 Bytes 12.03.2010 00:40:56
VBASE026.VDF : 7.10.5.79 2048 Bytes 12.03.2010 00:40:56
VBASE027.VDF : 7.10.5.80 2048 Bytes 12.03.2010 00:40:56
VBASE028.VDF : 7.10.5.81 2048 Bytes 12.03.2010 00:40:56
VBASE029.VDF : 7.10.5.82 2048 Bytes 12.03.2010 00:40:56
VBASE030.VDF : 7.10.5.83 2048 Bytes 12.03.2010 00:40:56
VBASE031.VDF : 7.10.5.89 133632 Bytes 15.03.2010 00:40:57
Engineversion : 8.2.1.180
AEVDF.DLL : 8.1.1.3 106868 Bytes 28.01.2010 21:27:02
AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 26.02.2010 22:39:47
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 22:39:46
AESBX.DLL : 8.1.2.0 254323 Bytes 26.02.2010 22:39:48
AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 17:30:22
AEPACK.DLL : 8.2.1.0 426356 Bytes 02.03.2010 19:03:12
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 19.02.2010 19:55:59
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 19.02.2010 19:55:52
AEHELP.DLL : 8.1.10.1 237942 Bytes 26.02.2010 22:39:45
AEGEN.DLL : 8.1.2.0 373107 Bytes 26.02.2010 22:39:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.12.2 188790 Bytes 02.03.2010 19:02:58
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 19:56:36
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, O:, P:, Q:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 16. März 2010 01:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mobile Partner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AODAssist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISWSVC.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '10' Prozesse mit '10' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD7
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD8
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'O:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'P:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Hauptplatte>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Micha\DoctorWeb\Quarantine\Flash_Disinfecto0.exe

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Users\Micha\DoctorWeb\Quarantine\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Users\Micha\Downloads\zaSetup_91_007_002en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> SWITCHUNINST_44ZONE LABS.EXE
[1] Archivtyp: RSRC
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <systemplatte>
Beginne mit der Suche in 'O:\'
Beginne mit der Suche in 'P:\' <P-RAM>
Beginne mit der Suche in 'Q:\' <Sandros Iomega HDD>
Q:\Gunther Baeckup\festplatte 2\Gunther\Eigene Dateien\ComboFix.exe

[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
Q:\Michaelsbaeckup\Alles Speicher\Brennen\a-stick_105 (2).zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des SPR/Tool.PassView.XA-Programmes
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
Q:\Michaelsbaeckup\Alles Speicher\Brennen\a-stick_105.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des SPR/Tool.PassView.XA-Programmes
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
Q:\Michaelsbaeckup\Alles Speicher\Brennen\a-stick_105\tools\analyse\keyfinder\keyfinder.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PassView.XA-Programmes

Beginne mit der Desinfektion:
C:\Users\Micha\DoctorWeb\Quarantine\Flash_Disinfecto0.exe
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\Micha\DoctorWeb\Quarantine\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[WARNUNG] Die Datei wurde ignoriert.
Q:\Gunther Baeckup\festplatte 2\Gunther\Eigene Dateien\ComboFix.exe
[WARNUNG] Die Datei wurde ignoriert.
Q:\Michaelsbaeckup\Alles Speicher\Brennen\a-stick_105\tools\
[FUND] Enthält Erkennungsmuster des SPR/Tool.PassView.XA-Programmes
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Dienstag, 16. März 2010 03:06
Benötigte Zeit: 1:15:30 Stunde(n)

Der Suchlauf wurde abgebrochen!

42132 Verzeichnisse wurden überprüft
551305 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
551298 Dateien ohne Befall
3401 Archive wurden durchsucht
8 Warnungen
1 Hinweise


fliege dauernd aus dem internet
benutze hdspa funknetz
aber es wersen trotdem iegendwelche daten versendet

Geändert von Michali (16.03.2010 um 03:51 Uhr)

Alt 16.03.2010, 09:04   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



Zitat:
Zitat von Michali Beitrag anzeigen
hatte ihn damals mit Dr. Web cureit gekillt
Hm das Logfile meinte ich. Hast Du das noch?
Ob Du es noch hast oder nicht, bitte auch Logs mit OTL machen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.03.2010, 10:21   #8
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



hab es noch ist aber komischerweis als exceldatei abgespeichert
kopieren will es sich nicht lassen sehr mysteriös


OTL Txt log:


OTL logfile created on: 16.03.2010 10:13:21 - Run 1
OTL by OldTimer - Version 3.1.37.1 Folder = C:\Users\****\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18882)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 69,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 46,70 Gb Total Space | 17,41 Gb Free Space | 37,28% Space Free | Partition Type: NTFS
Drive D: | 21,05 Gb Total Space | 4,66 Gb Free Space | 22,15% Space Free | Partition Type: NTFS
Drive E: | 3,54 Gb Total Space | 3,50 Gb Free Space | 98,74% Space Free | Partition Type: NTFS
Drive F: | 29,30 Gb Total Space | 8,00 Gb Free Space | 27,31% Space Free | Partition Type: NTFS
Drive G: | 232,88 Gb Total Space | 115,96 Gb Free Space | 49,79% Space Free | Partition Type: NTFS
Drive H: | 149,05 Gb Total Space | 67,69 Gb Free Space | 45,41% Space Free | Partition Type: NTFS
Drive I: | 52,00 Gb Total Space | 51,71 Gb Free Space | 99,45% Space Free | Partition Type: NTFS
Drive J: | 145,49 Gb Total Space | 84,74 Gb Free Space | 58,24% Space Free | Partition Type: NTFS
Drive K: | 268,79 Gb Total Space | 124,71 Gb Free Space | 46,40% Space Free | Partition Type: NTFS
Drive M: | 565,31 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 3,91 Gb Total Space | 3,91 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive Q: | 465,76 Gb Total Space | 36,62 Gb Free Space | 7,86% Space Free | Partition Type: NTFS
Drive R: | 74,53 Gb Total Space | 14,08 Gb Free Space | 18,89% Space Free | Partition Type: NTFS

Computer Name: ****-PC
Current User Name: ********
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Users\Micha\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\SpeedFan\speedfan.exe (Almico Software (www.almico.com))
PRC - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - F:\Program Files (x86)\AMD\OverDrive\AODAssist.exe ()
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Logitech\SetPoint\x86\SetPoint32.exe ()
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Windows\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Program Files (x86)\Common Files\microsoft shared\VS7Debug\mdm.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Users\Micha\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\CheckPoint\ZAForceField\WOW64\Plugins\ISWSHEX.dll (Check Point Software Technologies)
MOD - C:\Windows\SysWOW64\comdlg32.dll (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4016_none_d0893820442e7fe4\msvcr80.dll (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4016_none_d0893820442e7fe4\msvcp80.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV:64bit: - (IswSvc) -- C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe (Check Point Software Technologies)
SRV:64bit: - (FontCache) -- C:\Windows\SysNative\FntCache.dll (Microsoft Corporation)
SRV - (getPlusHelper) getPlus(R) -- C:\Program Files (x86)\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (McComponentHostService) -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (vsmon) -- C:\Windows\SysWOW64\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (AODService) -- F:\Program Files (x86)\AMD\OverDrive\AODAssist.exe ()
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (LBTServ) -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (clr_optimization_v2.0.50727_64) -- C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (MSDTC) -- C:\Windows\SysWOW64\Msdtc [2006.11.02 14:34:14 | 000,000,000 | ---D | M]
SRV - (vds) -- C:\Windows\SysWOW64\wbem\vds.mof ()
SRV - (VSS) -- C:\Windows\SysWOW64\wbem\vss.mof ()
SRV - (MDM) -- C:\Program Files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV:64bit: - (NVStrap) -- C:\Windows\SysNative\drivers\NVStrap.sys ()
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\DRIVERS\avgntflt.sys (Avira GmbH)
DRV:64bit: - (vsdatant7) -- C:\Windows\SysNative\drivers\vsdatant.win7.sys (Check Point Software Technologies LTD)
DRV:64bit: - (Vsdatant) -- C:\Windows\SysNative\DRIVERS\vsdatant.sys (Check Point Software Technologies LTD)
DRV:64bit: - (hwdatacard) -- C:\Windows\SysNative\DRIVERS\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (hwusbdev) -- C:\Windows\SysNative\DRIVERS\ewusbdev.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\DRIVERS\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\DRIVERS\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (L8042Kbd) -- C:\Windows\SysNative\DRIVERS\L8042Kbd.sys (Logitech, Inc.)
DRV:64bit: - (vncmirror) -- C:\Windows\SysNative\DRIVERS\vncmirror.sys (RealVNC Ltd.)
DRV:64bit: - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\Windows\SysNative\drivers\RTKVAC64.SYS (Realtek Semiconductor Corp.)
DRV:64bit: - (DRHARD64) -- C:\Windows\SysNative\drivers\DRHARD64.sys (Licensed for Gebhard Software)
DRV:64bit: - (SI3112r) -- C:\Windows\SysNative\DRIVERS\SI3112r.sys (Silicon Image, Inc)
DRV:64bit: - (SiFilter) -- C:\Windows\SysNative\DRIVERS\SiWinAcc.sys (Silicon Image, Inc)
DRV:64bit: - (RTL8023x64) -- C:\Windows\SysNative\DRIVERS\Rtnic64.sys (Realtek Semiconductor Corporation )
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\DRIVERS\ASACPI.sys ()
DRV - (RivaTuner64) -- C:\Program Files (x86)\RivaTuner v2.24\RivaTuner64.sys ()
DRV - (AODDriver) -- F:\Program Files (x86)\AMD\OverDrive\amd64\AODDriver.sys (Advanced Micro Devices)
DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies)
DRV - (DRHARD64) -- C:\Windows\SysWOW64\drivers\DRHARD64.sys (Licensed for Gebhard Software)
DRV - (CrystalSysInfo) -- C:\Users\Micha\Documents\CrystalCPUID415x64\SysInfoX64.sys ()
DRV - (speedfan) -- C:\Windows\SysWOW64\speedfan.sys (Windows (R) Server 2003 DDK provider)
DRV - (Tcpip) -- C:\Windows\SysWOW64\wbem\tcpip.mof ()
DRV - (mpsdrv) -- C:\Windows\SysWOW64\wbem\mpsdrv.mof ()


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.60
FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.53.4
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.1.20091029021655
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF - prefs.js..extensions.enabledItems: DeviceDetection@logitech.com:1.0.176.0


FF - HKLM\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2010.02.01 18:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.02.06 11:18:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2010.02.06 11:30:29 | 000,000,000 | ---D | M]

[2010.01.28 22:17:13 | 000,000,000 | ---D | M] -- C:\Users\Micha\AppData\Roaming\mozilla\Extensions
[2010.03.16 04:56:18 | 000,000,000 | ---D | M] -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions
[2010.01.30 15:18:39 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.03.16 04:56:18 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.02.06 11:59:37 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.02.05 21:13:59 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.02.25 23:44:56 | 000,000,000 | ---D | M] -- C:\Users\Micha\AppData\Roaming\mozilla\Firefox\Profiles\r4n4fswf.default\extensions\DeviceDetection@logitech.com
[2010.03.09 21:21:45 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mozilla Firefox\extensions
[2010.01.16 02:15:29 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 02:15:29 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 02:15:29 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 02:15:29 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 02:15:29 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.09.18 22:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2:64bit: - BHO: (ZoneAlarm Toolbar Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm Toolbar Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (MSN Toolbar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN\Toolbar\3.0.0744.0\msneshellx.dll (Microsoft Corp.)
O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Toolbar) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (MSN Toolbar) - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files (x86)\MSN\Toolbar\3.0.0744.0\msneshellx.dll (Microsoft Corp.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Toolbar) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found.
O4:64bit: - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4:64bit: - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.)
O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.DLL (NVIDIA Corporation)
O4:64bit: - HKLM..\Run: [RivaTunerStartupDaemon] C:\Program Files (x86)\RivaTuner v2.24\RivaTunerWrapper.exe ()
O4:64bit: - HKLM..\Run: [SoundMan] C:\Windows\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Program Files (x86)\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Program Files (x86)\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_18)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - Reg Error: Key error. File not found
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files (x86)\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files (x86)\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img23.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img23.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [1998.10.08 19:09:50 | 000,058,880 | ---- | M] () - G:\AUTORUN.EXE -- [ NTFS ]
O32 - AutoRun File - [2009.01.30 14:54:40 | 004,113,004 | ---- | M] () - H:\AutoRuns - Kopie.arn -- [ NTFS ]
O32 - AutoRun File - [2009.01.30 14:54:40 | 004,113,004 | ---- | M] () - H:\AutoRuns.arn -- [ NTFS ]
O32 - AutoRun File - [2004.08.04 13:00:00 | 000,000,112 | R--- | M] () - M:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2009.10.16 14:12:20 | 000,000,062 | ---- | M] () - R:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{4d12bad6-2fa0-11df-b75d-001731ad66da}\Shell - "" = AutoRun
O33 - MountPoints2\{4d12bad6-2fa0-11df-b75d-001731ad66da}\Shell\AutoRun\command - "" = N:\AutoRun.exe -- File not found
O33 - MountPoints2\{4d12bae0-2fa0-11df-b75d-001731ad66da}\Shell - "" = AutoRun
O33 - MountPoints2\{4d12bae0-2fa0-11df-b75d-001731ad66da}\Shell\AutoRun\command - "" = N:\AutoRun.exe -- File not found
O33 - MountPoints2\{4d12bae8-2fa0-11df-b75d-001731ad66da}\Shell - "" = AutoRun
O33 - MountPoints2\{4d12bae8-2fa0-11df-b75d-001731ad66da}\Shell\AutoRun\command - "" = N:\AutoRun.exe -- File not found
O33 - MountPoints2\{aab10d57-0e4c-11df-91e0-001731ad66da}\Shell - "" = AutoRun
O33 - MountPoints2\{aab10d57-0e4c-11df-91e0-001731ad66da}\Shell\AutoRun\command - "" = R:\AutoRun.exe -- File not found
O33 - MountPoints2\{aab10d6a-0e4c-11df-91e0-001731ad66da}\Shell - "" = AutoRun
O33 - MountPoints2\{aab10d6a-0e4c-11df-91e0-001731ad66da}\Shell\AutoRun\command - "" = N:\AutoRun.exe -- File not found
O33 - MountPoints2\R\Shell - "" = AutoRun
O33 - MountPoints2\R\Shell\AutoRun\command - "" = R:\AutoRun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.03.16 10:09:40 | 000,555,008 | ---- | C] (OldTimer Tools) -- C:\Users\Micha\Desktop\OTL.exe
[2010.03.16 01:17:41 | 000,000,000 | ---D | C] -- C:\Users\Micha\Application Data
[2010.03.14 23:58:39 | 000,132,608 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbnet.sys
[2010.03.14 23:58:39 | 000,116,992 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbmdm.sys
[2010.03.14 23:58:39 | 000,113,792 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbdev.sys
[2010.03.14 23:58:39 | 000,029,696 | ---- | C] (Huawei Tech. Co., Ltd.) -- C:\Windows\SysNative\drivers\ewdcsc.sys
[2010.03.12 10:24:28 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\browserchoice.exe
[2010.03.12 03:01:53 | 000,032,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\nshhttp.dll
[2010.03.12 03:01:53 | 000,024,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\nshhttp.dll
[2010.03.12 03:01:49 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\httpapi.dll
[2010.03.12 03:01:48 | 000,030,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\httpapi.dll
[2010.03.10 18:36:26 | 000,000,000 | ---D | C] -- C:\Users\Micha\DoctorWeb
[2010.03.02 19:46:46 | 000,000,000 | R--D | C] -- C:\Users\Micha\Documents\Notes
[2010.03.02 14:08:40 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2010.03.01 20:50:49 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Users\Micha\Desktop\HJTInstall202.exe
[2010.02.28 00:49:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2010.02.27 14:25:55 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\Ashampoo
[2010.02.27 14:18:54 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Local\ashampoo
[2010.02.27 14:18:54 | 000,000,000 | ---D | C] -- C:\ProgramData\ashampoo
[2010.02.27 14:18:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MSN
[2010.02.27 14:17:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Silverlight
[2010.02.27 13:19:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\trend micro
[2010.02.27 13:19:21 | 000,000,000 | ---D | C] -- C:\rsit
[2010.02.26 23:48:49 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\Vso
[2010.02.26 23:35:51 | 000,000,000 | ---D | C] -- C:\ProgramData\DVD Shrink
[2010.02.26 00:20:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\7-Zip
[2010.02.26 00:07:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\InstallShield
[2010.02.26 00:06:26 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\Logitech
[2010.02.26 00:06:18 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\Leadertech
[2010.02.26 00:06:05 | 000,000,000 | ---D | C] -- C:\ProgramData\LogiShrd
[2010.02.26 00:04:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\LogiShrd
[2010.02.26 00:03:50 | 000,190,992 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\BtCoreIf.dll
[2010.02.26 00:03:45 | 000,235,536 | ---- | C] (Logitech, Inc.) -- C:\Windows\SysNative\KemUtil.dll
[2010.02.26 00:03:45 | 000,235,536 | ---- | C] (Logitech, Inc.) -- C:\Windows\SysNative\kemutb.dll
[2010.02.26 00:03:45 | 000,159,248 | ---- | C] (Logitech, Inc.) -- C:\Windows\SysNative\KemWnd.dll
[2010.02.26 00:03:45 | 000,096,272 | ---- | C] (Logitech, Inc.) -- C:\Windows\SysNative\KemXML.dll
[2010.02.26 00:03:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Logitech
[2010.02.26 00:03:30 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\InstallShield Installation Information
[2010.02.26 00:03:22 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Logishrd
[2010.02.26 00:03:17 | 000,000,000 | ---D | C] -- C:\Programme\Logitech
[2010.02.26 00:01:22 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\TuneUp Software
[2010.02.26 00:00:42 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2010.02.25 23:59:57 | 000,000,000 | -HSD | C] -- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.02.24 22:35:50 | 000,817,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2010.02.24 22:35:50 | 000,726,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2010.02.24 22:35:24 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\secproc_isv.dll
[2010.02.24 22:35:23 | 000,539,136 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secproc.dll
[2010.02.24 22:35:23 | 000,538,624 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secproc_isv.dll
[2010.02.24 22:35:23 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\secproc.dll
[2010.02.24 22:35:22 | 000,600,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RMActivate_isv.exe
[2010.02.24 22:35:22 | 000,599,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RMActivate.exe
[2010.02.24 22:35:22 | 000,526,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RMActivate_isv.exe
[2010.02.24 22:35:22 | 000,518,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RMActivate.exe
[2010.02.24 22:35:22 | 000,413,696 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RMActivate_ssp_isv.exe
[2010.02.24 22:35:22 | 000,409,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RMActivate_ssp.exe
[2010.02.24 22:35:22 | 000,347,136 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RMActivate_ssp.exe
[2010.02.24 22:35:22 | 000,346,624 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RMActivate_ssp_isv.exe
[2010.02.24 22:35:21 | 000,460,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msdrm.dll
[2010.02.24 22:35:21 | 000,332,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msdrm.dll
[2010.02.24 22:35:21 | 000,160,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secproc_ssp_isv.dll
[2010.02.24 22:35:21 | 000,160,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secproc_ssp.dll
[2010.02.24 22:35:21 | 000,152,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\secproc_ssp_isv.dll
[2010.02.24 22:35:21 | 000,152,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\secproc_ssp.dll
[2010.02.24 22:35:17 | 001,927,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\gameux.dll
[2010.02.24 22:35:17 | 001,696,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\gameux.dll
[2010.02.24 22:35:16 | 004,240,384 | ---- | C] (Microsoft) -- C:\Windows\SysWow64\GameUXLegacyGDFs.dll
[2010.02.24 22:35:16 | 004,240,384 | ---- | C] (Microsoft) -- C:\Windows\SysNative\GameUXLegacyGDFs.dll
[2010.02.24 22:35:16 | 000,032,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\Apphlpdm.dll
[2010.02.24 22:35:16 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\Apphlpdm.dll
[2010.02.24 22:24:41 | 000,000,000 | ---D | C] -- C:\Windows\pss
[2010.02.23 19:17:44 | 000,000,000 | ---D | C] -- C:\Users\Micha\AppData\Roaming\Malwarebytes
[2010.02.23 19:17:38 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.02.23 19:17:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.02.23 19:17:33 | 000,022,104 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.02.23 19:17:33 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2010.02.18 22:42:41 | 004,698,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2010.02.16 18:28:01 | 000,000,000 | ---D | C] -- C:\Users\Micha\Documents\DVDFab
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.03.16 10:13:26 | 001,048,576 | -HS- | M] () -- C:\Users\Micha\ntuser.dat
[2010.03.16 10:09:43 | 000,555,008 | ---- | M] (OldTimer Tools) -- C:\Users\Micha\Desktop\OTL.exe
[2010.03.16 10:08:06 | 000,000,438 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{31332379-6E26-4810-ADC0-A39F223E7EE1}.job
[2010.03.16 10:07:28 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.03.16 03:39:56 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.03.16 03:39:29 | 000,003,664 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.03.16 03:39:29 | 000,003,664 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.03.16 03:37:24 | 000,524,288 | -HS- | M] () -- C:\Users\Micha\ntuser.dat{66e9c8dc-110c-11df-8559-001731ad66da}.TMContainer00000000000000000001.regtrans-ms
[2010.03.16 03:37:24 | 000,065,536 | -HS- | M] () -- C:\Users\Micha\ntuser.dat{66e9c8dc-110c-11df-8559-001731ad66da}.TM.blf
[2010.03.16 03:37:17 | 002,668,962 | -H-- | M] () -- C:\Users\Micha\AppData\Local\IconCache.db
[2010.03.16 03:31:00 | 000,618,204 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.03.16 03:31:00 | 000,586,980 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.03.16 03:31:00 | 000,122,636 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.03.16 03:31:00 | 000,101,052 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.03.16 03:30:59 | 001,418,806 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.03.16 01:16:45 | 000,000,772 | ---- | M] () -- C:\Users\Micha\Documents\DrWeb.csv
[2010.03.14 23:58:51 | 000,000,889 | ---- | M] () -- C:\Users\Public\Desktop\Mobile Partner.lnk
[2010.03.14 21:48:35 | 000,293,376 | ---- | M] () -- C:\Users\Micha\Desktop\2yh01xhp.exe
[2010.03.13 10:20:06 | 453,246,610 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.03.12 14:11:06 | 000,000,022 | ---- | M] () -- C:\Users\Micha\Desktop\ESTOOL300g_CDROM.zip
[2010.03.12 14:11:05 | 002,600,960 | ---- | M] () -- C:\Users\Micha\Image(300g).iso
[2010.03.12 10:23:34 | 001,215,419 | ---- | M] () -- C:\Users\Micha\Documents\mcdonalds_coupons.pdf
[2010.03.09 21:11:16 | 000,000,888 | ---- | M] () -- C:\Users\Micha\Desktop\drweb-cureit - Verknüpfung.lnk
[2010.03.02 13:36:16 | 002,868,264 | ---- | M] () -- C:\Users\Micha\Documents\congstar_DSL-Box_Bedienungsanleitung_Kurzfassung.pdf
[2010.03.01 20:53:12 | 000,001,939 | ---- | M] () -- C:\Users\Micha\Desktop\HijackThis.lnk
[2010.03.01 20:50:51 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Users\Micha\Desktop\HJTInstall202.exe
[2010.02.27 15:17:46 | 000,771,742 | ---- | M] () -- C:\Users\Micha\Documents\Datenrettung_von__moeglicherweise__infizierten_Datentraegern___Rechnern_1.4.pdf
[2010.02.27 14:17:34 | 000,000,783 | ---- | M] () -- C:\Users\Public\Desktop\Ashampoo Burning Studio 2010.lnk
[2010.02.27 13:18:50 | 000,781,909 | ---- | M] () -- C:\Users\Micha\Desktop\RSIT.exe
[2010.02.27 10:46:26 | 000,024,064 | ---- | M] () -- C:\Users\Micha\Documents\10-02-25 Wohnungsanzeige.doc
[2010.02.26 23:49:59 | 000,000,399 | ---- | M] () -- C:\Users\Micha\Desktop\DVDFab - Verknüpfung.lnk
[2010.02.26 00:04:50 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_Kernel_LMouFilt_01005.Wdf
[2010.02.26 00:04:42 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_Kernel_LHidFilt_01005.Wdf
[2010.02.26 00:03:50 | 000,001,695 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
[2010.02.25 05:28:09 | 000,055,184 | ---- | M] () -- C:\Users\Micha\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.02.25 05:26:46 | 000,261,656 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2010.02.24 10:26:46 | 000,294,912 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\browserchoice.exe
[2010.02.21 00:15:56 | 000,032,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\nshhttp.dll
[2010.02.21 00:14:20 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\httpapi.dll
[2010.02.21 00:06:41 | 000,024,064 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\nshhttp.dll
[2010.02.21 00:05:14 | 000,030,720 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\httpapi.dll
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.03.16 01:16:45 | 000,000,772 | ---- | C] () -- C:\Users\Micha\Documents\DrWeb.csv
[2010.03.14 23:58:51 | 000,000,889 | ---- | C] () -- C:\Users\Public\Desktop\Mobile Partner.lnk
[2010.03.14 21:48:31 | 000,293,376 | ---- | C] () -- C:\Users\Micha\Desktop\2yh01xhp.exe
[2010.03.12 13:58:32 | 000,000,022 | ---- | C] () -- C:\Users\Micha\Desktop\ESTOOL300g_CDROM.zip
[2010.03.12 10:23:34 | 001,215,419 | ---- | C] () -- C:\Users\Micha\Documents\mcdonalds_coupons.pdf
[2010.03.09 21:11:16 | 000,000,888 | ---- | C] () -- C:\Users\Micha\Desktop\drweb-cureit - Verknüpfung.lnk
[2010.03.02 13:36:02 | 002,868,264 | ---- | C] () -- C:\Users\Micha\Documents\congstar_DSL-Box_Bedienungsanleitung_Kurzfassung.pdf
[2010.03.01 20:51:46 | 000,001,939 | ---- | C] () -- C:\Users\Micha\Desktop\HijackThis.lnk
[2010.02.27 15:17:46 | 000,771,742 | ---- | C] () -- C:\Users\Micha\Documents\Datenrettung_von__moeglicherweise__infizierten_Datentraegern___Rechnern_1.4.pdf
[2010.02.27 14:21:27 | 000,000,438 | -H-- | C] () -- C:\Windows\tasks\User_Feed_Synchronization-{31332379-6E26-4810-ADC0-A39F223E7EE1}.job
[2010.02.27 14:17:34 | 000,000,783 | ---- | C] () -- C:\Users\Public\Desktop\Ashampoo Burning Studio 2010.lnk
[2010.02.27 13:18:44 | 000,781,909 | ---- | C] () -- C:\Users\Micha\Desktop\RSIT.exe
[2010.02.27 10:46:26 | 000,024,064 | ---- | C] () -- C:\Users\Micha\Documents\10-02-25 Wohnungsanzeige.doc
[2010.02.26 23:49:59 | 000,000,399 | ---- | C] () -- C:\Users\Micha\Desktop\DVDFab - Verknüpfung.lnk
[2010.02.26 00:04:50 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_Kernel_LMouFilt_01005.Wdf
[2010.02.26 00:04:42 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_Kernel_LHidFilt_01005.Wdf
[2010.02.26 00:03:50 | 000,001,695 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
[2010.02.03 22:04:29 | 000,000,732 | ---- | C] () -- C:\Users\Micha\AppData\Local\d3d9caps64.dat
[2010.01.30 01:45:12 | 000,117,248 | ---- | C] () -- C:\Windows\SysWow64\EhStorAuthn.dll
[2010.01.30 01:44:23 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2010.01.30 00:35:47 | 000,012,288 | ---- | C] () -- C:\Users\Micha\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.28 22:58:21 | 000,024,226 | ---- | C] () -- C:\Users\Micha\AppData\Roaming\UserTile.png
[2010.01.28 22:33:57 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2010.01.28 22:24:23 | 000,421,948 | ---- | C] () -- C:\Users\Micha\AppData\Local\dd_vcredistMSI27B6.txt
[2010.01.28 22:24:22 | 000,013,254 | ---- | C] () -- C:\Users\Micha\AppData\Local\dd_vcredistUI27B6.txt
[2008.09.10 13:17:24 | 000,154,144 | ---- | C] () -- C:\Windows\SysWow64\RTLCPAPI.dll
[2008.01.21 03:50:05 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini
< End of report >

OTL Extras LOG:

OTL Extras logfile created on: 16.03.2010 10:13:21 - Run 1
OTL by OldTimer - Version 3.1.37.1 Folder = C:\Users\Micha\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18882)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 69,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 46,70 Gb Total Space | 17,41 Gb Free Space | 37,28% Space Free | Partition Type: NTFS
Drive D: | 21,05 Gb Total Space | 4,66 Gb Free Space | 22,15% Space Free | Partition Type: NTFS
Drive E: | 3,54 Gb Total Space | 3,50 Gb Free Space | 98,74% Space Free | Partition Type: NTFS
Drive F: | 29,30 Gb Total Space | 8,00 Gb Free Space | 27,31% Space Free | Partition Type: NTFS
Drive G: | 232,88 Gb Total Space | 115,96 Gb Free Space | 49,79% Space Free | Partition Type: NTFS
Drive H: | 149,05 Gb Total Space | 67,69 Gb Free Space | 45,41% Space Free | Partition Type: NTFS
Drive I: | 52,00 Gb Total Space | 51,71 Gb Free Space | 99,45% Space Free | Partition Type: NTFS
Drive J: | 145,49 Gb Total Space | 84,74 Gb Free Space | 58,24% Space Free | Partition Type: NTFS
Drive K: | 268,79 Gb Total Space | 124,71 Gb Free Space | 46,40% Space Free | Partition Type: NTFS
Drive M: | 565,31 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 3,91 Gb Total Space | 3,91 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive Q: | 465,76 Gb Total Space | 36,62 Gb Free Space | 7,86% Space Free | Partition Type: NTFS
Drive R: | 74,53 Gb Total Space | 14,08 Gb Free Space | 18,89% Space Free | Partition Type: NTFS

Computer Name: *****-PC
Current User Name: *******
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "C:\Program Files (x86)\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files (x86)\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "C:\Program Files (x86)\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files (x86)\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 9F 9E 16 8C DC 5B C8 01 [binary data]
"VistaSp2" = FE 34 47 15 04 A5 CA 01 [binary data]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0F6FA297-5557-4FD8-B853-D842AE009CB0}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{11F6C1DB-7105-4C27-9224-A4A4FA694787}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{1C85FFC9-0C58-4531-B273-628C77D16BD4}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{225AE970-6FBA-40A5-9725-68A8D60FB2A4}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{2555B222-9259-4487-8E8B-F648FEDAD0F8}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{273500B3-E445-44E5-B467-813C8E098212}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{3BDB007B-7616-499F-A195-1A893CABC9AB}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{4948C6BC-A1FB-4048-B24F-1896CF7DBB01}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{57B6BC02-2ACA-4DF9-B1A0-57EF624D7A7F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{67CB7D5F-E467-428C-8B12-5F3A7F765305}" = rport=5357 | protocol=6 | dir=out | app=system |
"{68157858-7464-4C20-880A-2A48099E2FE5}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{6E686DC7-585F-42E0-A2C2-4C2697E57B23}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{7443CD59-8E7F-444A-BAE4-526C9F4EE6D3}" = rport=5358 | protocol=6 | dir=out | app=system |
"{78C009C6-1DAA-45F6-B4C2-74BB1A24F9CD}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{7D97DC12-57C6-4393-8DAF-BC8CB6A652A2}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{7FF01A75-580D-432F-B825-48469BFF6B60}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{8073337E-69B9-475F-90C5-7D8BAF4C43E3}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{835BB3CD-F3D9-45D1-BE80-5B78BE28133A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{888D1290-8F4B-4A45-AB46-2213CFEDD159}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{A39D998B-DDCD-4FA3-91A7-4686290A9B59}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{B11B6BE4-97F7-416C-9A7E-5F05F9AD9BBC}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{B85F587D-B31D-4A87-87E6-5339E1843471}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{B8821B0D-FB13-4891-946A-2CC61A84B6BC}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{BEF45C69-4538-41D4-A9A4-921A40F150FA}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{D110DB6F-9F07-478A-82C7-C62550BB0F65}" = lport=5357 | protocol=6 | dir=in | app=system |
"{ED4580E4-5A07-4C4B-84C7-65DE1267EF04}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{F132F331-99C0-4A11-85E5-B1A0C1C351D3}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{FAEC87E7-4F0C-46CB-937B-A852D918E94E}" = lport=5358 | protocol=6 | dir=in | app=system |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0DF7F4CE-BD1D-4265-853F-D9C88097AAEA}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{32B11BC7-B1D2-41E0-AB81-B28588F5D4F3}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe |
"{45309DA5-F9F2-44AC-95BF-D79F94AA2A62}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{57264238-FB9E-4720-96BA-60787F8C9B0B}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{74BFFCC2-8DE0-49DD-A182-0007BA4E81B8}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{794C2F4A-BE34-42AC-A6B9-8C3AECDBB450}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe |
"{7C87D329-ACED-4956-9F79-5FBCF056E64C}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{844E44DB-2E3F-4591-AFE9-35C566D19C80}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{8466510E-803A-434F-B364-C64451D08AFD}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{90537A6E-E49D-485A-A3DF-EB2E7FF2DCA4}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{A122B965-23A4-4E77-822C-E9EE8125E271}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{A6AF2D15-588E-4B7C-BBC3-5FC4109A766D}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{D892A055-9B52-40BB-B0FC-2968A27DFAD2}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{FF9AE530-CC21-4D0A-9784-0C88308C8BD7}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F3F18612-7B5D-4C05-86C9-AB50F6F71727}" = KhalInstallWrapper
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8FBC9407-713D-4B8A-98D2-57210DA56049}" = MSN Toolbar
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A498D9EB-927B-459B-85D6-DD6EF8C2C564}" = erLT
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.1 - Deutsch
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EA18DE8E-B3E6-4D82-A086-9BE2316FA5A5}" = AMD OverDrive
"{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Ashampoo Burning Studio 2010_is1" = Ashampoo Burning Studio 2010
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Dr. Hardware 2010_is1" = Dr. Hardware 2010 10.1d
"ESET Online Scanner" = ESET Online Scanner v3
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"HijackThis" = HijackThis 2.0.2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Mobile Partner" = Mobile Partner
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Nano" = Nano 1.1.1
"oZone3D.Net FurMark_is1" = oZone3D.Net FurMark v1.8.0
"RivaTuner" = RivaTuner v2.24
"SpeedFan" = SpeedFan (remove only)
"ZoneAlarm" = ZoneAlarm

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 14.03.2010 18:58:38 | Computer Name = Micha-PC | Source = System Restore | ID = 8193
Description =

Error - 14.03.2010 19:52:23 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 14.03.2010 19:54:34 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 20:25:12 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 20:36:14 | Computer Name = Micha-PC | Source = WinMgmt | ID = 10
Description =

Error - 15.03.2010 22:16:01 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 22:16:13 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 22:16:56 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 22:18:47 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

Error - 15.03.2010 22:21:06 | Computer Name = Micha-PC | Source = RasClient | ID = 20227
Description =

[ System Events ]
Error - 05.03.2010 02:26:49 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:26:54 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:26:54 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:26:54 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:26:56 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:26:56 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:27:03 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:27:03 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:27:03 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.

Error - 05.03.2010 02:27:04 | Computer Name = Micha-PC | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "E:" aus.


< End of report >

Geändert von Michali (16.03.2010 um 10:27 Uhr)

Alt 16.03.2010, 10:51   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



Zitat:
hab es noch ist aber komischerweis als exceldatei abgespeichert
kopieren will es sich nicht lassen sehr mysteriös
lad die Exceldatei bei file-upload.net hoch und verlink das Ganze dann hier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.03.2010, 11:16   #10
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe
data002 data003 data004 data005
Flash_Disinfector.exe Flash_Disinfector.exe Flash_Disinfector.exe Flash_Disinfector.exe
Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe Flash_Disinfector.exe/data002\nircmd.exe
data002 data003 data004 data005
Flash_Disinfector.exe Flash_Disinfector.exe Flash_Disinfector.exe Flash_Disinfector.exe
nircmd.exe nircmd.exe nircmd.exe nircmd.exe


hatte mal den Flash desinfektor angewendet ist aber lange her ca nen monat
Progamabruch bei ca 54%



das ist der log den ich gefunden habe: nixda:
alles sehr komisch
hab ihn imoment an der strippe hängen funk bricht dauernd ab
trotz nicht benutzen von FF oder IE immer wieder dateiversand

ich mach nochn durchgang imit CureIT m abgesicherten modus bin ca

Geändert von Michali (16.03.2010 um 11:27 Uhr)

Alt 16.03.2010, 13:00   #11
Michali
 
Hijackthis file kontrolle nach confickeratacke - Standard

Hijackthis file kontrolle nach confickeratacke



muste neue antwort machen

4c05d540.qua\data001 4c05d540.qua\data002 4c05d540.qua\data003
4c05d540.qua\data002 C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED Container enthält infizierte Objekte Verschoben.
4c05d540.qua\data003 C:\Documents and Settings\Micha\DoctorWeb\Quarantine\4c05d540.qua Win32.HLLW.Shadow.based
4c05d540.qua\data004 C:\Documents and Settings\Micha\DoctorWeb\Quarantine Container enthält infizierte Objekte Verschoben.
4c05d540.qua\data005 C:\Documents and Settings\Micha\DoctorWeb\Quarantine\Flash_Disinfecto0.exe/data002 Tool.NirCmd.1
4c05d540.qua\data006 C:\Documents and Settings\Micha\DoctorWeb\Quarantine Archiv enthält infizierte Objekte
4c05d540.qua\data007 C:\Documents and Settings\Micha\DoctorWeb\Quarantine Container enthält infizierte Objekte Verschoben.
4c05d540.qua\data008 C:\Program Files (x86)\distributed.net Program.DNetClient.13
4c05d540.qua\data009 C:\Program Files (x86)\distributed.net Program.DNetClient.16
4c05d540.qua\data010 C:\Program Files (x86)\distributed.net Program.DNetClient

hier sind auch die funde vom alten log drine

Antwort

Themen zu Hijackthis file kontrolle nach confickeratacke
adobe, antivir, antivir guard, avg, avira, bho, checkpoint, desktop, excel, explorer, file, hijack, hijackthis, internet, internet explorer, log, logfile, monitor, nvidia, plug-in, rundll, security, security scan, software, syswow64, trojaner, vista, windows, wmp




Ähnliche Themen: Hijackthis file kontrolle nach confickeratacke


  1. HijackThis-Log-Kontrolle
    Log-Analyse und Auswertung - 07.06.2010 (6)
  2. HijackThis File nach Virus Fund (TR/Spy.Gen TR/Crypt.UPKM.GEN und TR/HiJacker.GEN)
    Log-Analyse und Auswertung - 29.04.2009 (1)
  3. Bitte hijackthis Log File nach schädlichen Sachen anschauen
    Log-Analyse und Auswertung - 18.03.2009 (0)
  4. Mal für die ganz Doofen! Kontrolle meines HijackThis Log-File
    Log-Analyse und Auswertung - 28.01.2009 (0)
  5. Hijackthis log file nach Befall bitte checken thx
    Mülltonne - 28.08.2008 (0)
  6. HiJackThis Log-File zur Kontrolle!
    Mülltonne - 24.05.2008 (0)
  7. bitte um log-file Kontrolle
    Log-Analyse und Auswertung - 17.02.2008 (0)
  8. HiJackThis Log File nach RE-Start
    Mülltonne - 18.05.2007 (0)
  9. Bitte schaut doch einmal nach: HiJackThis Log-File
    Log-Analyse und Auswertung - 19.10.2006 (1)
  10. Viren nach Umstieg auf DSL: HiJackThis Log-File
    Log-Analyse und Auswertung - 21.05.2006 (2)
  11. HiJackThis Log-File ... nach Virenbefall
    Log-Analyse und Auswertung - 05.05.2006 (11)
  12. HiJackThis Log-File nach W32.Spybot.Worm
    Log-Analyse und Auswertung - 23.04.2006 (2)
  13. Kontrolle von HijackThis File
    Log-Analyse und Auswertung - 15.04.2006 (1)
  14. Bitte um Log-File-Kontrolle
    Log-Analyse und Auswertung - 11.04.2006 (3)
  15. Bitte um Kontrolle meiner HiJackThis Log-File, Danke
    Log-Analyse und Auswertung - 12.12.2005 (2)
  16. Kontrolle Hijackthis.log??
    Log-Analyse und Auswertung - 23.12.2004 (2)
  17. HijackThis Kontrolle 2 - Bitte!
    Log-Analyse und Auswertung - 18.10.2004 (5)

Zum Thema Hijackthis file kontrolle nach confickeratacke - Würde mich sehr freuen wen mal jemand das log durchgucken kann was weg kan es ist windows vista 64 bit hatte mir nen conficker trojaner eingehandelt hatte ihn damals mit - Hijackthis file kontrolle nach confickeratacke...
Archiv
Du betrachtest: Hijackthis file kontrolle nach confickeratacke auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.