| |
| |||||||
Log-Analyse und Auswertung: Account gehacktWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.03.2010, 22:35
| #1 |
 |  Account gehackt Einen wunderschönen guten Abend wünsche ich, ich komme soeben von Arbeit und wollte noch ein wenig meinem Online Spiel nachgehen. Beim Log in dann die Überraschung ID und Passwort stimmen nicht überein. Eine Nachfrage im TS erbrachte die Erkenntnis, dass ich seit dem Nachmittag online sei, ich aber zu dem Zeitpunkt auf Arbeit war. Anbei mein aktuelles HJT Log. Ich weiss habe eigentlich hier noch einen Thread offen aber das Problem hatte sich schnell gelöst, indem meine alte IDE Festplatte ihren Dienst. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:23:13, on 28.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Everest Ultimate Engineer Edition 4.10.1078\everest.exe C:\Programme\DNA\btdna.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe D:\TS3\TeamSpeak 3 Client\ts3client_win32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\Test.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Ai Nap] "C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe" O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Everest Ultimate Engineer Edition 4.10.1078\everest.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - D:\CDBurnerXP\NMSAccessU.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6435 bytes |
|
29.03.2010, 00:30
| #2 |
| | Account gehackt habe Malwarebytes laufen lassen und der hat den kleinen Stinker gefunden und gelöscht hier das log mit dem Fund:
__________________Code:
ATTFilter C:\WINDOWS\system32\h@tkeysh@@k.dll
Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3924
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
29.03.2010 00:12:17
mbam-log-2010-03-29 (00-12-17).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115505
Laufzeit: 2 minute(s), 45 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
danach Malwarebytes Komplettscan: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3924
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
29.03.2010 00:44:53
mbam-log-2010-03-29 (00-44-53).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 186937
Laufzeit: 22 minute(s), 43 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und Superantispyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 03/29/2010 at 01:24 AM
Application Version : 4.34.1000
Core Rules Database Version : 4742
Trace Rules Database Version: 2554
Scan type : Complete Scan
Total Scan Time : 00:37:07
Memory items scanned : 495
Memory threats detected : 0
Registry items scanned : 5194
Registry threats detected : 0
File items scanned : 67462
File threats detected : 19
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kai\Cookies\kai@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@bluestreak[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@adbrite[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@atdmt[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@burstnet[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@serving-sys[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@ads.ad4game[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@casalemedia[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@doubleclick[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@www.burstnet[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@advertising[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@collective-media[1].txt
C:\Dokumente und Einstellungen\Kai\Cookies\kai@ad.zanox[2].txt
Adware.Vundo/Variant-X32[Header]
D:\TRILLIAN\LANGUAGES\DE\MAIL.DLL
Ich lass jetzt nochmal Avira laufen und ändere alle wichtigen Passwörter. Kann ich noch was tun? |
|
29.03.2010, 19:41
| #3 | |
| | Account gehackt 1. http://www.trojaner-board.de/74908-a...t-scanner.html
__________________2. Hol dir OTL Starte OTL Kopiere unten in das Skript-Feld rein: Zitat:
Schließe alle anderen Programme. Klicke auf Quick Scan. Poste die beiden Logs - OTL.txt und Extras.txt |
|
30.03.2010, 00:38
| #4 |
| | Account gehackt GMER: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-03-30 01:05:07
Windows 5.1.2600 Service Pack 3
Running: fg0f2enj.exe; Driver: C:\DOKUME~1\Kai\LOKALE~1\Temp\pgtdqpoc.sys
---- System - GMER 1.0.15 ----
SSDT BAEB1E76 ZwCreateKey
SSDT BAEB1E6C ZwCreateThread
SSDT BAEB1E7B ZwDeleteKey
SSDT BAEB1E85 ZwDeleteValueKey
SSDT spbp.sys ZwEnumerateKey [0xBA6C5CA4]
SSDT spbp.sys ZwEnumerateValueKey [0xBA6C6032]
SSDT BAEB1E8A ZwLoadKey
SSDT spbp.sys ZwOpenKey [0xBA6A70C0]
SSDT BAEB1E58 ZwOpenProcess
SSDT BAEB1E5D ZwOpenThread
SSDT spbp.sys ZwQueryKey [0xBA6C610A]
SSDT spbp.sys ZwQueryValueKey [0xBA6C5F8A]
SSDT BAEB1E94 ZwReplaceKey
SSDT BAEB1E8F ZwRestoreKey
SSDT BAEB1E80 ZwSetValueKey
SSDT BAEB1E67 ZwTerminateProcess
INT 0x63 ? 8A462BF8
INT 0x63 ? 8A462BF8
INT 0x63 ? 8A462BF8
INT 0x63 ? 8A462BF8
INT 0x83 ? 8A652BF8
INT 0x83 ? 8A652BF8
INT 0x83 ? 8A462BF8
INT 0x83 ? 8A652BF8
INT 0x84 ? 8A462BF8
INT 0x94 ? 8A462BF8
INT 0xA4 ? 8A462BF8
INT 0xB4 ? 8A652BF8
INT 0xB4 ? 8A652BF8
INT 0xB4 ? 8A652BF8
INT 0xB4 ? 8A652BF8
INT 0xB4 ? 8A652BF8
---- Kernel code sections - GMER 1.0.15 ----
? spbp.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9E4B360, 0x372FAD, 0xE8000020]
.text USBPORT.SYS!DllUnload B9E2B8AC 5 Bytes JMP 8A4621D8
.text adhh62cd.SYS B9D4F386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text adhh62cd.SYS B9D4F3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text adhh62cd.SYS B9D4F3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text adhh62cd.SYS B9D4F3C9 1 Byte [30]
.text adhh62cd.SYS B9D4F3C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB7A13A00]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB6928300, 0x3B6D8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBAB48300, 0x1BEE, 0xE8000020]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A8042] spbp.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A813E] spbp.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A80C0] spbp.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A8800] spbp.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A86D6] spbp.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B7E9C] spbp.sys
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\adhh62cd.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A5E21F8
Device \Driver\usbuhci \Device\USBPDO-0 8A474500
Device \Driver\usbuhci \Device\USBPDO-1 8A474500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A5E41F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A5E41F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A5E41F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A5E41F8
Device \Driver\usbuhci \Device\USBPDO-2 8A474500
Device \Driver\usbehci \Device\USBPDO-3 8A5AC500
Device \Driver\usbuhci \Device\USBPDO-4 8A474500
Device \Driver\usbuhci \Device\USBPDO-5 8A474500
Device \Driver\usbuhci \Device\USBPDO-6 8A474500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6531F8
Device \Driver\usbehci \Device\USBPDO-7 8A5AC500
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6531F8
Device \Driver\Cdrom \Device\CdRom0 8A3FB1F8
Device \Driver\atapi \Device\Ide\IdePort0 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort4 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort5 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-10 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 [BA5FAB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 8A3FB1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E1307D40-3EAE-4B75-A5CA-015203CAB599} 89EE01F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89EE01F8
Device \Driver\sptd \Device\166993684 spbp.sys
Device \Driver\PCI_PNP3684 \Device\0000004c spbp.sys
Device \Driver\NetBT \Device\NetbiosSmb 89EE01F8
Device \Driver\usbuhci \Device\USBFDO-0 8A474500
Device \Driver\usbuhci \Device\USBFDO-1 8A474500
Device \Driver\usbuhci \Device\USBFDO-2 8A474500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89ECE1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89ECE1F8
Device \Driver\usbehci \Device\USBFDO-3 8A5AC500
Device \Driver\Ftdisk \Device\FtControl 8A6531F8
Device \Driver\usbuhci \Device\USBFDO-4 8A474500
Device \Driver\usbuhci \Device\USBFDO-5 8A474500
Device \Driver\usbuhci \Device\USBFDO-6 8A474500
Device \Driver\usbehci \Device\USBFDO-7 8A5AC500
Device \Driver\adhh62cd \Device\Scsi\adhh62cd1 8A3B21F8
Device \Driver\adhh62cd \Device\Scsi\adhh62cd1Port6Path0Target0Lun0 8A3B21F8
Device \Driver\phmcd \GLOBAL??\phmcd 8A5E31F8
Device \FileSystem\Cdfs \Cdfs 89EB2500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 2
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xC6 0x63 0x0D 0xFD ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0xDD 0x4B 0xD8 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC5 0x99 0xC8 0x71 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xA5 0x7F 0x00 0x91 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD1 0xEB 0x3C 0x4D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 2
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xC6 0x63 0x0D 0xFD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0xDD 0x4B 0xD8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC5 0x99 0xC8 0x71 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x1A 0x81 0xE7 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD1 0xEB 0x3C 0x4D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xC6 0x63 0x0D 0xFD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0xDD 0x4B 0xD8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC5 0x99 0xC8 0x71 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC7 0xF0 0x00 0x10 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x87 0x7D 0xFD 0x85 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD1 0xEB 0x3C 0x4D ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 2
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xC6 0x63 0x0D 0xFD ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0xDD 0x4B 0xD8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC5 0x99 0xC8 0x71 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC7 0xF0 0x00 0x10 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x87 0x7D 0xFD 0x85 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD1 0xEB 0x3C 0x4D ...
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter OTL logfile created on: 30.03.2010 01:20:08 - Run 1 OTL by OldTimer - Version 3.1.37.3 Folder = D:\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free 4,00 Gb Paging File | 4,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,06 Gb Total Space | 20,96 Gb Free Space | 53,65% Space Free | Partition Type: NTFS Drive D: | 333,55 Gb Total Space | 133,85 Gb Free Space | 40,13% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: KAIS Current User Name: Kai Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 14 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.03.30 01:18:58 | 000,555,520 | ---- | M] (OldTimer Tools) -- D:\Downloads\OTL.exe PRC - [2010.01.11 16:21:52 | 000,246,504 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.11.13 10:02:06 | 000,323,392 | ---- | M] (BitTorrent, Inc.) -- C:\Programme\DNA\btdna.exe PRC - [2009.08.06 16:56:00 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.06.09 18:04:48 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.04.23 15:51:38 | 000,691,656 | ---- | M] (DT Soft Ltd) -- D:\Programme\DAEMON Tools Lite\daemon.exe PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.07.21 03:17:54 | 000,611,664 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\aawservice.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.02.25 02:00:00 | 000,364,544 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe PRC - [2007.10.12 09:34:56 | 000,071,096 | ---- | M] () -- D:\CDBurnerXP\NMSAccessU.exe PRC - [2007.10.09 21:02:32 | 001,036,288 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\Core\smax4pnp.exe PRC - [2007.10.08 08:47:38 | 000,864,256 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4.exe PRC - [2007.09.06 20:57:52 | 000,626,688 | ---- | M] () -- C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe PRC - [2007.09.06 12:19:14 | 001,426,432 | ---- | M] () -- C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe PRC - [2007.07.26 01:10:12 | 001,962,080 | ---- | M] (Lavalys, Inc.) -- C:\Programme\Everest Ultimate Engineer Edition 4.10.1078\everest.exe PRC - [2006.11.13 14:50:28 | 001,289,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\wcescomm.exe PRC - [2006.11.13 14:50:16 | 000,199,464 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\rapimgr.exe PRC - [2005.05.27 12:24:52 | 000,310,272 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe PRC - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe ========== Modules (SafeList) ========== MOD - [2010.03.30 01:18:58 | 000,555,520 | ---- | M] (OldTimer Tools) -- D:\Downloads\OTL.exe ========== Win32 Services (SafeList) ========== SRV - [2009.08.06 16:56:00 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.06.29 22:21:52 | 003,110,016 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\System32\GameMon.des -- (npggsvc) SRV - [2009.06.09 18:04:48 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.07.21 03:17:54 | 000,611,664 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\aawservice.exe -- (aawservice) SRV - [2008.02.25 02:00:00 | 000,364,544 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service) SRV - [2007.10.12 09:34:56 | 000,071,096 | ---- | M] () [Auto | Running] -- D:\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU) SRV - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.24 13:31:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.24 13:31:10 | 000,000,000 | ---D | M] [2008.08.26 13:59:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Extensions [2010.03.29 01:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\extensions [2010.03.17 00:02:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\extensions\de-DE@dictionaries.addons.mozilla.org [2010.03.29 01:27:37 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2008.09.04 02:11:24 | 000,054,600 | ---- | M] (BitTorrent, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll [2010.02.01 15:56:02 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.02.01 15:56:02 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.02.01 15:56:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.02.01 15:56:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.02.01 15:56:02 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2001.08.23 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Ai Nap] C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe () O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe () O4 - HKLM..\Run: [CPU Power Monitor] C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe () O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [BitTorrent DNA] C:\Programme\DNA\btdna.exe (BitTorrent, Inc.) O4 - HKCU..\Run: [DAEMON Tools Lite] D:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd) O4 - HKCU..\Run: [EVEREST AutoStart] C:\Programme\Everest Ultimate Engineer Edition 4.10.1078\everest.exe (Lavalys, Inc.) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKCU..\Run: [MSMSGS] C:\Programme\Messenger\Msmsgs.exe File not found O4 - HKCU..\Run: [PlayNC Launcher] File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.10.31 20:00:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{b3c4ecc3-30ee-11df-aec9-001d60aadb15}\Shell\AutoRun\command - "" = WMPLAYER.EXE O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (pgdfgsvc C 1) - C:\WINDOWS\System32\pgdfgsvc.exe (Sysinternals - www.sysinternals.com) O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.10.31 20:45:45 | 000,000,000 | ---D | M] NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found CREATERESTOREPOINT Restore point Set: OTL Restore Point (16891891626803200) ========== Files/Folders - Created Within 14 Days ========== [2010.03.29 18:41:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\PCHealth [2010.03.29 18:13:45 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kai\IETldCache [2010.03.29 18:07:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.03.29 17:50:53 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [2010.03.29 17:44:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage [2010.03.29 17:42:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall [2010.03.29 17:37:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution [2010.03.29 00:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.03.29 00:27:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\SUPERAntiSpyware.com [2010.03.29 00:27:28 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware [2010.03.29 00:03:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Malwarebytes [2010.03.29 00:03:33 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.03.29 00:03:31 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.03.29 00:03:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.03.29 00:03:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.03.16 13:32:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.03.16 13:27:58 | 000,000,000 | ---D | C] -- C:\Programme\avmwlanstick [2010.03.16 13:27:51 | 000,004,352 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\drivers\avmeject.sys [2010.03.16 13:27:16 | 000,401,920 | ---- | C] (AVM GmbH) -- C:\WINDOWS\System32\drivers\fwlanusbn.sys [2010.03.16 13:27:16 | 000,077,824 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\fwusbnci.dll [2010.03.16 13:27:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\AVM_Driver [2010.03.16 13:27:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kai\AVM_Driver [2010.03.16 13:26:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\U3 [2009.08.28 22:16:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2009.08.03 01:09:09 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\pcouffin.sys [2009.07.09 20:15:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2008.05.11 15:35:57 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft [2007.10.31 20:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2007.10.31 20:00:48 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 14 Days ========== [2010.03.30 01:14:08 | 000,175,169 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.03.30 01:13:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.03.30 01:13:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.03.29 21:21:12 | 005,242,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\Kai\NTUSER.DAT [2010.03.29 21:21:12 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Kai\ntuser.ini [2010.03.29 19:57:07 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Eigene Dateien\aionmemo_5ab4bb9f.dat [2010.03.29 18:37:29 | 000,118,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.03.29 18:32:31 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.03.29 17:45:35 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.03.29 17:44:11 | 000,013,824 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\RemoveWGA12.exe [2010.03.29 02:48:22 | 000,010,089 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\acc.rtf [2010.03.29 02:32:10 | 000,000,139 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis.URL [2010.03.29 00:27:35 | 000,000,758 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\SUPERAntiSpyware Free Edition.lnk [2010.03.29 00:03:39 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.03.28 22:52:01 | 000,062,164 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\checkmytrip.com - your trav....pdf [2010.03.28 01:38:02 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Eigene Dateien\aionmemo_38c87954.dat [2010.03.23 18:50:13 | 001,049,932 | ---- | M] () -- C:\Dokumente und Einstellungen\Kai\Desktop\17_6.jpg [2010.03.22 18:32:17 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.03.16 13:44:59 | 000,000,528 | ---- | M] () -- C:\WINDOWS\win.ini [2010.03.16 13:44:59 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.03.16 13:44:59 | 000,000,211 | -HS- | M] () -- C:\boot.ini [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.03.29 17:44:55 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Desktop\RemoveWGA12.exe [2010.03.29 02:32:10 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Desktop\VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis.URL [2010.03.29 00:27:35 | 000,000,758 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Desktop\SUPERAntiSpyware Free Edition.lnk [2010.03.29 00:03:39 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.03.28 22:52:01 | 000,062,164 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Desktop\checkmytrip.com - your trav....pdf [2010.03.23 18:50:13 | 001,049,932 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Desktop\17_6.jpg [2010.03.16 13:27:20 | 000,012,598 | ---- | C] () -- C:\WINDOWS\instwcli.inf [2010.03.16 13:27:16 | 000,015,573 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwlanusbn.bin [2010.03.11 16:31:26 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys [2009.11.26 15:45:10 | 000,001,769 | ---- | C] () -- C:\WINDOWS\Language_trs.ini [2009.11.26 13:19:55 | 000,004,940 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe [2009.08.03 01:09:23 | 000,001,176 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\vso_ts_preview.xml [2009.08.03 01:09:13 | 000,000,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\pcouffin.log [2009.08.03 01:09:09 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\inst.exe [2009.08.03 01:09:09 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\pcouffin.cat [2009.08.03 01:09:09 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\pcouffin.inf [2009.07.24 12:19:32 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.07.24 12:19:31 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.06.15 23:09:21 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2009.03.18 23:35:09 | 000,000,392 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI [2008.12.10 04:08:45 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\$_hpcst$.hpc [2008.10.26 23:44:26 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\PnkBstrK.sys [2008.10.14 03:13:12 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2007.10.31 22:19:09 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.10.31 22:19:08 | 000,034,304 | ---- | C] () -- C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.10.31 21:14:22 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.10.31 20:42:56 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.10.31 20:38:59 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2007.10.31 20:38:59 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2007.10.31 20:38:58 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2007.10.31 20:36:23 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2007.10.31 20:32:37 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll [2007.10.31 20:32:37 | 000,012,664 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys [2007.10.31 20:32:35 | 000,012,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys [2007.10.31 20:32:35 | 000,010,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys [2007.10.31 20:27:22 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2007.10.31 20:27:20 | 000,031,199 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2007.10.31 20:27:12 | 000,012,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2007.10.31 20:16:11 | 000,064,200 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2007.06.29 01:43:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.06.29 01:43:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.06.29 01:43:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.06.29 01:43:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.06.29 01:43:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll ========== LOP Check ========== [2009.06.15 19:49:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2008.05.23 23:59:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funcom [2009.07.24 12:21:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages [2009.08.03 02:09:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk [2008.10.15 15:03:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Acreon [2009.08.03 01:27:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Ashampoo [2010.02.05 19:06:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\BitTorrent [2009.06.15 19:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\DAEMON Tools [2009.06.15 19:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\DAEMON Tools Lite [2009.09.03 18:13:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\DAEMON Tools Pro [2010.03.30 01:14:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\DNA [2008.09.22 20:18:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\eMule [2009.12.26 15:54:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mumble [2008.04.01 01:24:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\T-DSL SpeedManager [2007.10.31 20:31:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\TMP [2010.01.02 00:35:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\TS3Client [2009.07.24 12:23:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Ubisoft [2009.09.04 14:30:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Vso ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\system32\drivers\*.sys /lockedfiles > [2009.06.15 19:45:34 | 000,721,904 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\sptd.sys < %systemroot%\System32\config\*.sav > [2007.10.31 20:50:12 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.10.31 20:50:12 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.10.31 20:50:12 | 000,458,752 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < End of report > |
|
30.03.2010, 00:40
| #5 |
| | Account gehackt Extras: Code:
ATTFilter OTL Extras logfile created on: 30.03.2010 01:20:08 - Run 1
OTL by OldTimer - Version 3.1.37.3 Folder = D:\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 20,96 Gb Free Space | 53,65% Space Free | Partition Type: NTFS
Drive D: | 333,55 Gb Total Space | 133,85 Gb Free Space | 40,13% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: KAIS
Current User Name: Kai
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3724:TCP" = 3724:TCP:*:Enabled:Blizzard Downloader: 3724
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Sicherung D\SPIELE\CS Source\Steam.exe" = D:\Sicherung D\SPIELE\CS Source\Steam.exe:*:Enabled:Steam -- File not found
"D:\Sicherung D\Emule\emule.exe" = D:\Sicherung D\Emule\emule.exe:*:Enabled:eMule -- File not found
"D:\Trillian\trillian.exe" = D:\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"D:\Emule\emule.exe" = D:\Emule\emule.exe:*:Enabled:eMule -- (hxxp://www.emule-project.net)
"D:\SPIELE\WOW\World of Warcraft\WoW-2.3.3.7799-to-2.4.0.8089-deDE-downloader.exe" = D:\SPIELE\WOW\World of Warcraft\WoW-2.3.3.7799-to-2.4.0.8089-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"D:\SPIELE\CS Source\SteamApps\horis01\counter-strike source\hl2.exe" = D:\SPIELE\CS Source\SteamApps\horis01\counter-strike source\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"D:\Programme\BitTorrent\bittorrent.exe" = D:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- (BitTorrent, Inc.)
"D:\Programme\Curse\CurseClient.exe" = D:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client -- File not found
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- File not found
"C:\WINDOWS\system32\PnkBstrB.exe" = C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- File not found
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 0c0bf048\Launcher.exe" = C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 0c0bf048\Launcher.exe:*:Enabled:Blizzard Launcher -- File not found
"C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 0e03f3a0\Launcher.exe" = C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 0e03f3a0\Launcher.exe:*:Enabled:Blizzard Launcher -- File not found
"D:\WoW Test\World of Warcraft Public Test\WoW-0.1.0-deDE-downloader.exe" = D:\WoW Test\World of Warcraft Public Test\WoW-0.1.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- File not found
"D:\WoW Test\World of Warcraft Public Test\Launcher.exe" = D:\WoW Test\World of Warcraft Public Test\Launcher.exe:*:Enabled:Blizzard Launcher -- File not found
"D:\SPIELE\WOW\World of Warcraft\Launcher.exe" = D:\SPIELE\WOW\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher -- (Blizzard Entertainment)
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe" = C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"D:\SPIELE\Anno1404\tools\Anno4Web.exe" = D:\SPIELE\Anno1404\tools\Anno4Web.exe:*:Disabled:Anno4Web -- ()
"D:\SPIELE\WOW\World of Warcraft\BackgroundDownloader.exe" = D:\SPIELE\WOW\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"D:\SPIELE\WOW\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe" = D:\SPIELE\WOW\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"D:\SPIELE\WOW\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe" = D:\SPIELE\WOW\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"D:\SPIELE\WOW\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe" = D:\SPIELE\WOW\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"D:\SPIELE\WOW\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe" = D:\SPIELE\WOW\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{0E2B767B-EA6A-489B-BF83-8083FE1DB661}" = Pcsx2 0.9.6
"{15095BF3-A3D7-4DDF-B193-3A496881E003}" = Microsoft .NET Framework 3.0
"{1A9C3B2E-360E-4353-8E17-312342E24194}" = Speed-Link SL-6535 USB Pad
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 18
"{310BC5E2-31AF-49BB-904D-E71EB93645DC}" = AI Suite
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{491DD792-AD81-429C-9EB4-86DD3D22E333}" = Windows Communication Foundation
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5DB65884-C963-4454-AABA-4CA3089281FA}" = NVIDIA PhysX
"{65539616-9067-41FB-8C04-423897569876}" = Aion
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76C24F39-B161-498F-BD8B-C64789812D13}_is1" = ConvertXtoDVD 3.7.2.188
"{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}" = Windows Workflow Foundation
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A82000000003}" = Adobe Reader 8.2.0 - Deutsch
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{C9FB868B-2086-4EE2-BD4F-BFBA36B131F4}" = NCsoft Launcher
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware Free Edition
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Ashampoo Burning Studio 2009 Advanced_is1" = Ashampoo Burning Studio 2009 Advanced
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"EAX(tm) Unified (SHELL)" = EAX(tm) Unified (SHELL)
"eMule" = eMule
"FINAL FANTASY VIII" = FINAL FANTASY VIII
"FreePDF_XP" = FreePDF XP (Remove only)
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.1.0 Full
"Magic ISO Maker v5.5 (build 0272)" = Magic ISO Maker v5.5 (build 0272)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0" = Microsoft .NET Framework 3.0
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre)
"Mumble" = Mumble and Murmur
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NeroVision!UninstallKey" = NeroVision Express 3
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"VLC media player" = VideoLAN VLC media player 0.8.6c
"WebEradicator" = WebEradicator
"WIC" = Windows Imaging Component
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows Mobile Device Handbook" = Windows Mobile-Ressourcen
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"World of Warcraft" = World of Warcraft
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"727d1ea1876aa06e" = WowAceUpdater
"BitTorrent" = BitTorrent
"BitTorrent DNA" = DNA
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.02.2010 13:30:35 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 25.02.2010 17:32:33 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 26.02.2010 10:06:12 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung javaw.exe, Version 6.0.180.7, fehlgeschlagenes
Modul java.dll, Version 6.0.180.7, Fehleradresse 0x00005875.
Error - 26.02.2010 16:55:21 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 26.02.2010 19:46:31 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 27.02.2010 18:19:07 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 28.02.2010 14:15:07 | Computer Name = KAIS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ff8.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ff8.exe, Version 0.0.0.0, Fehleradresse 0x0016121b.
Error - 29.03.2010 12:28:04 | Computer Name = KAIS | Source = NativeWrapper | ID = 5000
Description =
Error - 29.03.2010 12:28:07 | Computer Name = KAIS | Source = HotFixInstaller | ID = 5000
Description = EventType visualstudio8setup, P1 microsoft .net framework 2.0-kb953300,
P2 1031, P3 1605, P4 msi, P5 f, P6 9.0.40302.0, P7 install, P8 x86, P9 xp, P10
0.
Error - 29.03.2010 12:28:11 | Computer Name = KAIS | Source = HotFixInstaller | ID = 5000
Description = EventType visualstudio8setup, P1 microsoft .net framework 2.0-kb974417,
P2 1031, P3 1605, P4 msi, P5 f, P6 9.0.40302.0, P7 install, P8 x86, P9 xp, P10
0.
[ System Events ]
Error - 26.03.2010 06:04:30 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 26.03.2010 18:33:30 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 27.03.2010 06:26:52 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 28.03.2010 18:15:03 | Computer Name = KAIS | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 28.03.2010 18:16:08 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 28.03.2010 20:55:48 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 29.03.2010 12:39:00 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 29.03.2010 14:51:59 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 29.03.2010 18:15:03 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
Error - 29.03.2010 19:15:10 | Computer Name = KAIS | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst NVSvc.
< End of report >
|
|
30.03.2010, 12:56
| #6 | |
| | Account gehackt Nichts zu entdecken soweit. 1. Starte OTL. Kopiere unten in das Skript-Feld rein: Zitat:
Neustart zulassen, wenn gefragt. 2. Hol dir AVZ Entpacke und starte AVZ. Führe einen Update durch (Button auf der rechten Seite unten ("Database Update") - dann auf Start). Nach dem Update: Setze oben links ein Häkchen beim Laufwerk C: Wechesle zu "File Types" und wähle All Files. Wechsele zu "Search Parameters", setze zusätzlich ein Häkchen bei Block User-Mode Rootkits und Block Kernel-Mode Rootkits Schließe alle anderen Programme. Klicke auf Start, der Scan wird eine Weile in Anspruch nehmen. Speichere nach dem Scan das Log mit dem Button unten rechts "Save Log" und poste es. |
|
30.03.2010, 13:19
| #7 |
| | Account gehackt Ähm...ich häng mich mal kurz rein und wollte mal sagen, das es sich bei diesem HotKeyhook.dll doch vieleicht um einen Keylogger handelt. Auf jedenfall ist das ein Teil eines Programms, das Tastaturanschläge verfolgt, wie es zum beispiel bei Trainern vorkommt...z.b. F1 oder sowas! Deswegen könnte vieleicht auch der Acc gehackt worden sein... Aber nun weiter zu dem User, der dir da hilft... |
|
30.03.2010, 13:34
| #8 | |
| | Account gehacktZitat:
 |
|
30.03.2010, 13:55
| #9 | |
| | Account gehackt @ BIOTEC Zitat:
So hier das Log von AVZ: Code:
ATTFilter AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 30.03.2010 14:30:12
Database loaded: signatures - 268960, NN profile(s) - 2, malware removal microprograms - 56, signature database released 28.03.2010 23:44
Heuristic microprograms loaded: 381
PVS microprograms loaded: 9
Digital signatures of system files loaded: 190711
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
>> Danger ! Process masking detected
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=085700)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 8055C700
KiST = 8050446C (284)
Function NtCreateKey (29) intercepted (806237B6->BAEB0306), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateThread (35) intercepted (805D0FE2->BAEB02FC), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteKey (3F) intercepted (80623C46->BAEB030B), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteValueKey (41) intercepted (80623E16->BAEB0315), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateKey (47) intercepted (80623FF6->BA6C5CA4), hook spbv.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateValueKey (49) intercepted (80624260->BA6C6032), hook spbv.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey (62) intercepted (806259B2->BAEB031A), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenKey (77) intercepted (80624B88->BA6A70C0), hook spbv.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenProcess (7A) intercepted (805CB40A->BAEB02E8), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenThread (80) intercepted (805CB696->BAEB02ED), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryKey (A0) intercepted (80624EAE->BA6C610A), hook spbv.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryValueKey (B1) intercepted (806219EE->BA6C5F8A), hook spbv.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtReplaceKey (C1) intercepted (80625862->BAEB0324), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtRestoreKey (CC) intercepted (8062516E->BAEB031F), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetValueKey (F7) intercepted (80621D3C->BAEB0310), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtTerminateProcess (101) intercepted (805D29AC->BAEB02F7), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Functions checked: 284, intercepted: 16, restored: 16
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
CmpCallCallBacks = 00093D84
Disable callback OK
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A5E21F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 8A5E21F8 -> hook not defined
Checking - complete
2. Scanning RAM
Number of processes found: 42
Number of modules loaded: 372
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\cert8.db
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\content-prefs.sqlite
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\downloads.sqlite
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\formhistory.sqlite
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\key3.db
Direct reading: C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\places.sqlite
Direct reading: C:\Dokumente und Einstellungen\Kai\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\IETldCache\index.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\Cache\_CACHE_001_
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\Cache\_CACHE_002_
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\Cache\_CACHE_003_
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2npbh9zo.default\urlclassifier3.sqlite
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\~DFA217.tmp
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Verlauf\History.IE5\MSHist012010033020100331\index.dat
Direct reading: C:\Dokumente und Einstellungen\Kai\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading: C:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171\change.log
Direct reading: C:\WINDOWS\SchedLgU.Txt
Direct reading: C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading: C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading: C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading: C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading: C:\WINDOWS\system32\config\default
Direct reading: C:\WINDOWS\system32\config\Internet.evt
Direct reading: C:\WINDOWS\system32\config\SAM
Direct reading: C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading: C:\WINDOWS\system32\config\SECURITY
Direct reading: C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading: C:\WINDOWS\system32\config\system
Direct reading: C:\WINDOWS\system32\drivers\sptd.sys
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Direct reading: C:\WINDOWS\Temp\Perflib_Perfdata_b4.dat
Direct reading: C:\WINDOWS\WindowsUpdate.log
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 164450, extracted from archives: 118919, malicious software found 0, suspicions - 0
Scanning finished at 30.03.2010 14:46:25
!!! Attention !!! Restored 16 KiST functions during Anti-Rootkit operation
This may affect execution of certain software, so it is strongly recommended to reboot
Time of scanning: 00:16:14
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address hxxp://virusinfo.info conference
|
|
30.03.2010, 13:58
| #10 |
| | Account gehackt Dann wollen wir jetzt mal SION dein Log auswerten lassen und ich schätze mal, das der KL jetzt zwar weg ist, aber dein Acc auch...das heisst das nächste mal viel vorsichtiger sein, was man ausführt... Bei mir gibts nix zu holen...da haben Banker keinen Erfolg...^^ Aber nochwas....ich hatte schon mit Bankern zu tun, die biste garnicht mehr losbekommen... Ich bin raus aus dem Thread und wünsche euch viel erfolg und dir einen immer sauberen, schnellen PC! Gruss BIOTEC |
|
30.03.2010, 14:16
| #11 |
| | Account gehackt Sieht auch gut aus, AVZ mochte da Daemon nicht. Endspurt: 1. http://www.trojaner-board.de/51871-a...tispyware.html 2. http://www.trojaner-board.de/59299-a...eb-cureit.html |
|
30.03.2010, 18:07
| #12 |
| | Account gehackt so Superantispyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 03/30/2010 at 04:44 PM
Application Version : 4.34.1000
Core Rules Database Version : 4748
Trace Rules Database Version: 2560
Scan type : Complete Scan
Total Scan Time : 00:49:34
Memory items scanned : 550
Memory threats detected : 0
Registry items scanned : 5202
Registry threats detected : 0
File items scanned : 67461
File threats detected : 1
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kai\Cookies\kai@microsoftwga.112.2o7[1].txt
Code:
ATTFilter A0066968.exe;C:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Tool.RemoveWGA;;
fdel.exe;C:\WINDOWS;Tool.ForceDel.5;;
AddiTunes.exe;D:\A-one iPod PSP 3GP Video Converter\app;Trojan.PWS.Legmir;Gelöscht.;
QT3GPPFlatten.exe;D:\A-one iPod PSP 3GP Video Converter\app;Trojan.PWS.Legmir;Gelöscht.;
cracksearcher.exe;D:\Downloads;Tool.CrackSearch;;
RemoveWGA12.exe;D:\Downloads;Tool.RemoveWGA;;
MSD.exe;D:\MSD\MSD 0.655;Trojan.DownLoad1.12231;Gelöscht.;
linkkuzeyforum.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
linkprotector.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
rsprotect.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
safefilecash.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
safelink.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
tresor.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
uppicoasis.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
wonsite.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Win32.HLLW.Mistri;Gelöscht.;
xvidznet.dll;D:\MSD\MSD 0.655\Plugins\YCPlugins;Trojan.DownLoader.33828;Gelöscht.;
A0067988.exe;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Trojan.PWS.Legmir;Gelöscht.;
A0067989.exe;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Trojan.PWS.Legmir;Gelöscht.;
A0067990.exe;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Trojan.DownLoad1.12231;Gelöscht.;
A0067991.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067992.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067993.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067994.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067995.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067996.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067997.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067998.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Win32.HLLW.Mistri;Gelöscht.;
A0067999.dll;D:\System Volume Information\_restore{72802088-84C5-4BBB-9BAF-9A3B8B0DB10A}\RP171;Trojan.DownLoader.33828;Gelöscht.;
|
|
30.03.2010, 19:16
| #13 | |
| | Account gehacktZitat:
http://www.trojaner-board.de/51262-a...sicherung.html Ich bin weg. |
|
30.03.2010, 19:37
| #14 |
| | Account gehacktCode:
ATTFilter cracksearcher.exe;D:\Downloads;Tool.CrackSearch;;
RemoveWGA12.exe;D:\Downloads;Tool.RemoveWGA;;
|
|
| Themen zu Account gehackt |
| ad-aware, adobe, antivir, antivir guard, avg, avira, bho, cdburnerxp, desktop, excel, festplatte, firefox, hijack, hijackthis, internet, internet explorer, log in, mozilla, object, plug-in, problem, rundll, software, stick, stimme, system, teamspeak, windows, windows xp |
Linear-Darstellung
