| |
| |||||||
Log-Analyse und Auswertung: Firefox öffnet neue TabsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.04.2010, 16:12
| #1 |
 |  Firefox öffnet neue Tabs Hallo, Ich glaube ich hab mir wieder ein paar Viren eingefangen... Firefox öffnet in unregelmäßigen Abständen neue Tabs. Erst war es nur Werbung. Also hab ich einmal mit Avira einen Systemscan gemacht. Avira hat auch was gefunden aber das Problem bestand weiterhin. Nun wurde auch schon versucht etwas auf meinem PC zu installieren. Hab mal das gemacht, was in dem einem Thread gesagt wurde. Anti-Malware hat auch schon einiges gefunden aber ich weiß nicht ob alles entfernt wurde. HiJackThis-Log ist ja in dem RSIT-Log drin, nicht wahr? Ansonsten kann ich das gerne nachreichen. Anti-Malware Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3930 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 28.04.2010 16:45:49 mbam-log-2010-04-28 (16-45-49).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 109418 Laufzeit: 6 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\core.dll (Spyware.Passwords) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7579a4b0-8b85-fdb6-d565-9549ad4622c8} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7579a4b0-8b85-fdb6-d565-9549ad4622c8} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CORE (Spyware.Passwords) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dlhncxxqupoym (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\1aebce20.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\core.dll (Spyware.Passwords) -> Delete on reboot. C:\WINDOWS\Temp\vssm.tmp\svchost.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\a.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fscgozauzzwcrahdd.dll (Trojan.Agent) -> Quarantined and deleted successfully. RSIT Log Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-04-28 16:56:13 Microsoft Windows XP Professional Service Pack 3 System drive C: has 6 GB (37%) free of 17 GB Total RAM: 255 MB (39% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:56:25, on 28.04.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Yahoo!\Search Protection\SearchProtection.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe D:\Viren\HiJackThis\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: profitizeme browser enhancer - {3FD76F41-F21C-8284-84F8-A3A042036FF0} - C:\WINDOWS\system32\fscgozauzzwcrahdd.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BD] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38 O17 - HKLM\System\CS1\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38 O17 - HKLM\System\CS2\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38 O20 - Winlogon Notify: r_line - C:\WINDOWS\ O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: npkcmsvc - Unknown owner - E:\GMS\npkcmsvc.exe (file missing) -- End of file - 6767 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\McDefragTask.job C:\WINDOWS\tasks\McQcTask.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] &Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll [2007-10-19 817936] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3FD76F41-F21C-8284-84F8-A3A042036FF0}] profitizeme browser enhancer - C:\WINDOWS\system32\fscgozauzzwcrahdd.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-04-01 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-04-01 79648] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "YSearchProtection"=C:\Programme\Yahoo!\Search Protection\SearchProtection.exe [2007-06-08 224248] "WMC_AutoUpdate"= [] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2003-01-10 46592] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "LexwareInfoService"=C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2008-09-11 339240] "ContentTransferWMDetector.exe"=C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe [2009-07-30 497000] "ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056] "SunJavaUpdateSched"=C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [2010-02-18 248040] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Pando Media Booster"=C:\Programme\Pando Networks\Media Booster\PMB.exe [2010-03-09 2937528] "IncrediMail"=C:\Programme\IncrediMail\bin\IncMail.exe [2009-09-07 251336] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "BD"=C:\Programme\IncrediMail\bin\IncMail.exe [2009-09-07 251336] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Registrierungsprogramm ausführen.lnk - C:\Programme\WiFiConnector\NintendoWFCReg.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2006-05-03 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\r_line] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableLUA"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"= "HonorAutoRunSetting"= "NoDriveAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\IncrediMail\bin\IMApp.exe"="C:\Programme\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail" "C:\Programme\IncrediMail\bin\IncMail.exe"="C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail" "C:\Programme\IncrediMail\bin\ImpCnt.exe"="C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail" "C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe"="C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe:*:Enabled:IncrediMail Installer" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe"="C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe:*:Enabled:NEXON_EU_Download er_Engine" "E:\WonderKing\FLORA.exe"="E:\WonderKing\FLORA.exe:*:Enabled:FLORA.exe" "C:\Programme\Pando Networks\Media Booster\PMB.exe"="C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster" "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager" "C:\Programme\WiFiConnector\NintendoWFCReg.exe"="C:\Programme\WiFiConnector\NintendoWFCReg.exe:*:Enabled:Nintendo Wi-Fi USB Connector" "C:\WINDOWS\Temp\wpv371271400438.exe"="C:\WINDOWS\Temp\wpv371271400438.exe:*:Disabled:Installer Application" "C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe:*:Enabled:MapleStory Europe" "C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Disabled:McAfee Network Agent" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe:*:Enabled:ASPLnchr.exe" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe:*:Enabled:Patcher.exe" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe:*:Enabled:Setup" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe:*:Enabled:hslogmgr.exe" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe:*:Enabled:HSUpdate.exe" "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe"="D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe:*:Enabled:ahnrpt.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Pando Networks\Media Booster\PMB.exe"="C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster" ======List of files/folders created in the last 1 months====== 2010-04-28 11:22:14 ----N---- C:\WINDOWS\system32\spmsg.dll 2010-04-26 17:23:50 ----A---- C:\WINDOWS\system32\573a7314.exe 2010-04-26 17:23:31 ----A---- C:\WINDOWS\system32\rptweuxogeiuoe.exe 2010-04-19 17:05:42 ----A---- C:\WINDOWS\system32\msexcr.ini 2010-04-18 13:11:10 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR 2010-04-16 10:16:35 ----D---- C:\WINDOWS\system32\coredb 2010-04-04 12:17:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira 2010-04-01 22:45:55 ----D---- C:\WINDOWS\system32\NtmsData 2010-04-01 22:38:27 ----D---- C:\Programme\Avira 2010-04-01 22:38:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-04-01 20:59:45 ----D---- C:\Programme\Gemeinsame Dateien\Java 2010-04-01 20:58:16 ----A---- C:\WINDOWS\system32\javaws.exe 2010-04-01 20:58:16 ----A---- C:\WINDOWS\system32\javaw.exe 2010-04-01 20:58:16 ----A---- C:\WINDOWS\system32\java.exe 2010-04-01 20:57:50 ----D---- C:\Programme\Java ======List of files/folders modified in the last 1 months====== 2010-04-28 16:56:18 ----D---- C:\WINDOWS\Prefetch 2010-04-28 16:52:04 ----D---- C:\WINDOWS\Temp 2010-04-28 16:51:23 ----D---- C:\WINDOWS\system32\CatRoot2 2010-04-28 16:50:45 ----D---- C:\WINDOWS 2010-04-28 16:47:59 ----D---- C:\WINDOWS\system32 2010-04-28 16:47:41 ----D---- C:\WINDOWS\system32\drivers 2010-04-28 16:47:19 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-04-28 16:46:37 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$ 2010-04-28 15:40:52 ----HD---- C:\WINDOWS\inf 2010-04-28 15:36:14 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-04-28 15:31:48 ----D---- C:\WINDOWS\Debug 2010-04-28 11:22:15 ----D---- C:\WINDOWS\system32\CatRoot 2010-04-28 11:21:14 ----D---- C:\Programme\Windows Media Player 2010-04-28 11:21:11 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-04-28 11:21:11 ----D---- C:\WINDOWS\Help 2010-04-27 20:49:50 ----SHD---- C:\WINDOWS\Installer 2010-04-25 18:17:32 ----D---- C:\Config.Msi 2010-04-25 17:01:48 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2010-04-25 14:49:56 ----RASH---- C:\boot.ini 2010-04-25 14:49:56 ----A---- C:\WINDOWS\win.ini 2010-04-25 14:49:56 ----A---- C:\WINDOWS\system.ini 2010-04-25 14:44:20 ----D---- C:\WINDOWS\Registration 2010-04-25 14:38:55 ----D---- C:\download 2010-04-23 16:38:11 ----D---- C:\WINDOWS\system32\Restore 2010-04-18 19:51:19 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2010-04-18 19:45:51 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc 2010-04-16 21:04:32 ----D---- C:\Nexon 2010-04-16 10:14:57 ----A---- C:\WINDOWS\system32\ole32.dll 2010-04-10 14:41:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files 2010-04-04 14:27:01 ----D---- C:\Programme\Mozilla Firefox 2010-04-03 13:39:36 ----D---- C:\Programme 2010-04-01 22:45:53 ----D---- C:\WINDOWS\repair 2010-04-01 22:37:08 ----D---- C:\WINDOWS\WinSxS 2010-04-01 22:14:10 ----D---- C:\Programme\Gemeinsame Dateien 2010-04-01 22:12:48 ----SD---- C:\WINDOWS\Tasks 2010-04-01 22:10:02 ----SD---- C:\WINDOWS\system32\Microsoft 2010-04-01 20:57:57 ----A---- C:\WINDOWS\system32\deploytk.dll 2010-04-01 20:37:57 ----A---- C:\WINDOWS\system32\MPFServiceFailureCount.txt 2010-03-31 23:14:48 ----D---- C:\Programme\Internet Explorer 2010-03-31 23:13:52 ----HD---- C:\WINDOWS\$hf_mig$ ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2010-03-01 124784] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2008-07-24 5632] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-02-16 60936] R2 Fallback;Fallback; C:\WINDOWS\System32\DRIVERS\HSF_FALL.sys [2001-08-17 289887] R2 Fsks;Fsks; C:\WINDOWS\System32\DRIVERS\HSF_FSKS.sys [2001-08-17 115807] R2 K56;K56; C:\WINDOWS\System32\DRIVERS\HSF_K56K.sys [2001-08-17 391199] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\System32\DRIVERS\mdmxsdk.sys [2004-08-03 11868] R2 SoftFax;SoftFax; C:\WINDOWS\System32\DRIVERS\HSF_FAXX.sys [2001-08-17 199711] R2 Tones;Tones; C:\WINDOWS\System32\DRIVERS\HSF_TONE.sys [2001-08-17 50751] R2 V124;V124; C:\WINDOWS\System32\DRIVERS\HSF_V124.sys [2001-08-17 488383] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2003-01-10 730700] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-03 1540608] R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 HSF_DP;HSF_DP; C:\WINDOWS\System32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536] R3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\System32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 winachsf;winachsf; C:\WINDOWS\System32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S2 npkcrypt;npkcrypt; \??\E:\MapleSEA\npkcrypt.sys [] S3 AVFSFilter;AVFSFilter; C:\WINDOWS\system32\DRIVERS\avfsfilter.sys [] S3 basic2;basic2; C:\WINDOWS\System32\DRIVERS\HSF_BSC2.sys [2001-08-17 67167] S3 catchme;catchme; \??\C:\DOKUME~1\root\LOKALE~1\Temp\catchme.sys [] S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2003-03-11 739983] S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [] S3 hsf_msft;hsf_msft; C:\WINDOWS\System32\DRIVERS\HSF_MSFT.sys [2001-08-17 542879] S3 Mkd2kfNt;Mkd2kfNt; C:\WINDOWS\system32\drivers\Mkd2kfNt.sys [2008-10-17 131072] S3 Mkd2Nadr;Mkd2Nadr; C:\WINDOWS\system32\drivers\Mkd2Nadr.sys [2008-10-17 79104] S3 Rksample;Rksample; C:\WINDOWS\System32\DRIVERS\HSF_SAMP.sys [2001-08-17 57471] S3 RT25USBAP;Nintendo Wi-Fi USB Connector Service; C:\WINDOWS\system32\DRIVERS\rt25usbap.sys [2006-04-10 162816] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000] S3 tap0901;TAP-Win32 Adapter V9; C:\WINDOWS\system32\DRIVERS\tap0901.sys [2009-07-02 25472] S3 taphss;Anchorfree HSS Adapter; C:\WINDOWS\system32\DRIVERS\taphss.sys [2010-01-09 32768] S3 tapvpn;TAP VPN Adapter; C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S3 XDva225;XDva225; \??\C:\WINDOWS\system32\XDva225.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2010-03-16 267432] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-03 413696] R2 EpsonBidirectionalService;EpsonBidirectionalService; C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe [2002-01-29 77824] R2 EPSONStatusAgent2;EPSON Printer Status Agent2; C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe [2002-07-17 94208] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-05-03 520192] S2 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope; C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2008-08-20 70336] S2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-04-01 153376] S2 npkcmsvc;npkcmsvc; E:\GMS\npkcmsvc.exe [] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576] S4 HideMyIpSRV;HideMyIpSRV; E:\GMS\MSSetup\Hide My IP 2009\HideMyIpSrv.exe [] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] S4 SecureSrv;SecureSrv; E:\GMS\MSSetup\Hide My IP 2007\SecureSrv.exe [] -----------------EOF----------------- RSIT Info info.txt logfile of random's system information tool 1.06 2009-12-10 18:43:54 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll" Adobe Reader 7.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002} Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe" AhnLab Online Security-->C:\Programme\AhnLab\ASP\Common\aosremove.exe a-squared Anti-Dialer 3.0-->"C:\Programme\a-squared Anti-Dialer\unins000.exe" ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Catalyst Control Center-->MsiExec.exe /I{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B} ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean CCleaner-->"C:\Programme\CCleaner\uninst.exe" C-Media WDM Audio Driver-->C:\WINDOWS\system32\cmirmdrv.exe EPSON PhotoQuicker3.2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B2EFE303-A594-11D5-95EB-005004BC1C65}\setup.exe" uninst EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /r Europe MapleStory-->"D:\EMS\Europe MapleStory\Europe MapleStory\unins000.exe" Fraps-->"D:\EMS\uninstall.exe" Google Earth-->MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72} GTK+ 2.10.11 runtime environment-->"C:\2.0\setup\unins000.exe" Haufe iDesk-Browser-->MsiExec.exe /X{F48AAE0F-52F4-11DD-B1F7-0050560400B1} Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353} Haufe iDesk-Service-->MsiExec.exe /X{D5C8E140-6E6F-11DD-9AA9-0050560400B1} HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" ICQ Toolbar-->regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll" IncrediMail-->C:\Programme\IncrediMail\bin\ImSetup.exe /remove /addon:IncrediMail /log:IncMail.log Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Lexware Info Service-->MsiExec.exe /X{69496452-FAF3-43BC-9907-BA9CEC65FC10} Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" MapleStory-->MsiExec.exe /I{A6CCAEF5-F141-4BBE-A6DA-EA8A8362C7A6} McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft GIF Animator-->E:\animation\setup\GifACME.exe Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.15)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL nProtect KeyCrypt-->C:\WINDOWS\system32\npkuninst.exe OpenOffice.org Installer 1.0-->MsiExec.exe /X{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE} Paint.NET v3.20-->MsiExec.exe /X{C1CAAF9E-2A80-4AD0-8D9A-B4327966249F} Pando Media Booster-->C:\Programme\Pando Networks\Media Booster\uninst.exe PixiePack Codec Pack-->MsiExec.exe /I{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC} PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE Roll-->C:\WINDOWS\UniFish3.exe C:\Programme\Hasbro Interactive\RollerCoaster Tycoon\RollerCoaster Tycoon.log RTP 1.32 Add-On for RM2k-->C:\WINDOWS\UnGins.exe "C:\Programme\Mandy Christmas Adventure\RTP\install.log" RTP for RM2K (Png, Wav, Midi, Fonts)-->C:\WINDOWS\UnGins.exe "C:\Programme\ASCII\RPG2000\RTP\install.log" SAMSUNG CDMA Modem Driver Set-->C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe Samsung Mobile phone USB driver Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe Samsung PC Studio 3 USB Driver Installer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7 -removeonly Samsung PC Studio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7 -removeonly Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Encoder (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Steuer Hilfesammlung-->MsiExec.exe /X{67DABCB4-239C-4E02-805E-DEA0DDCB1926} Steuer Hilfesammlung-->MsiExec.exe /X{B754B683-E23C-4583-9312-50AD86836B42} Steuer Hilfesammlung-->MsiExec.exe /X{D777130E-86A9-428C-B7E6-9EFBCAB4E4CC} Steuern sparen 2009-->C:\Programme\InstallShield Installation Information\{BA520FF6-E598-42D5-AF43-26AF0BD9DEF4}\Setup.exe -runfromtemp -l0x0007 -removeonly Tweak UI-->"C:\WINDOWS\system32\mshta.exe" "res://C:\WINDOWS\system32\TweakUI.exe/uninstall.hta" Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Virtools 3D Life Player-->C:\Programme\Virtools\3D Life Player\WebplayerConfig.exe -u Virtualdub 1.4.9-->C:\WINDOWS\AKDeInstall.exe "/C:\Programme\Virtualdub (Deutsch)\" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Media Encoder 9-Reihe-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall xp-AntiSpy 3.97-6-->C:\Programme\xp-AntiSpy\Uninstall.exe Yahoo! Install Manager-->C:\WINDOWS\system32\regsvr32 /u C:\WINDOWS\cache\YINSTH~1.DLL Yahoo! Suche Schutzvorkehrung-->C:\PROGRA~1\Yahoo!\SEARCH~1\UNINST~1.EXE Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\unyt.exe =====HijackThis Backups===== O17 - HKLM\System\CCS\Services\Tcpip\..\{550AB86C-471C-4FEF-9C75-93DF9EA96C6E}: NameServer = 62.220.18.8 89.246.64.8 [2009-03-05] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://internetsearchservice.com/ie6.html [2009-03-05] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [2009-03-05] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://internetsearchservice.com [2009-03-05] O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\PROGRA~1\PRIVAC~1\tools\sp\sp.dll (file missing) [2009-03-05] R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://internetsearchservice.com [2009-03-05] R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = hxxp://internetsearchservice.com [2009-03-05] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://internetsearchservice.com [2009-03-08] O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing) [2009-05-02] O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - hxxp://www.browseroption.com/redirect.php (file missing) [2009-05-02] O3 - Toolbar: Internet Service - {65742936-8079-408B-9F3C-874B78030A72} - C:\Programme\Web Technologies\iebr.dll (file missing) [2009-05-02] O2 - BHO: (no name) - {D46BEAA4-A304-40B3-A9DA-EC7F7F501F25} - C:\Programme\Web Technologies\iebt.dll (file missing) [2009-05-02] O2 - BHO: ASCWarningBHO Class - {58472BC6-BEA3-42d4-8917-7A8BCB0711B5} - C:\Programme\ASC 2.1\ASCWarning32.dll (file missing) [2009-05-02] O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - hxxp://www.browseroption.com/redirect.php (file missing) [2009-05-02] O4 - HKCU\..\Run: [vgt] "C:\DOKUME~1\***\LOKALE~1\Temp\vgt.exe" [2009-12-05] O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\***\LOKALE~1\Temp\richtx64.exe [2009-12-05] O23 - Service: SecureSrv - Unknown owner - E:\GMS\MSSetup\Hide My IP 2007\SecureSrv.exe (file missing) [2009-12-08] O23 - Service: HideMyIpSRV - Unknown owner - E:\GMS\MSSetup\Hide My IP 2009\HideMyIpSrv.exe (file missing) [2009-12-09] ======Hosts File====== 127.0.0.1 localhost 127.0.0.1 localhost ======Security center information====== AV: AntiVir PersonalEdition Classic Virenschutz AV: AntiMalware (outdated) AV: McAfee VirusScan AV: AntiVir PersonalEdition Classic Virenschutz AV: AntiVir PersonalEdition Classic Virenschutz FW: McAfee Personal Firewall ======System event log====== Computer Name: HEIMPC Event Code: 7031 Message: Der Dienst "McAfee Proxy Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Record Number: 2422 Source Name: Service Control Manager Time Written: 20091124132324.000000+060 Event Type: Fehler User: Computer Name: HEIMPC Event Code: 7031 Message: Der Dienst "McAfee Real-time Scanner" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Record Number: 2421 Source Name: Service Control Manager Time Written: 20091124132324.000000+060 Event Type: Fehler User: Computer Name: HEIMPC Event Code: 7031 Message: Der Dienst "McAfee Personal Firewall Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden durchgeführt: Führen Sie das konfigurierte Wiederherstellungspr. Record Number: 2420 Source Name: Service Control Manager Time Written: 20091124132324.000000+060 Event Type: Fehler User: Computer Name: HEIMPC Event Code: 4226 Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde. Record Number: 2419 Source Name: Tcpip Time Written: 20091124132123.000000+060 Event Type: Warnung User: Computer Name: HEIMPC Event Code: 20158 Message: Der Benutzer "***" hat eine Verbindung mit "Versatel" hergestellt, unter Verwendung des Geräts "PPPoE6-0". Record Number: 2418 Source Name: RemoteAccess Time Written: 20091124132024.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: HEIMPC Event Code: 105 Message: The service was started. Record Number: 5 Source Name: ATI Smart Time Written: 20090908143418.000000+120 Event Type: Informationen User: Computer Name: HEIMPC Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 4 Source Name: SecurityCenter Time Written: 20090907184850.000000+120 Event Type: Informationen User: Computer Name: HEIMPC Event Code: 4096 Message: Record Number: 3 Source Name: Avira AntiVir Time Written: 20090907184838.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: HEIMPC Event Code: 2004 Message: Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen werden nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0. Record Number: 2 Source Name: PerfNet Time Written: 20090907184829.000000+120 Event Type: Fehler User: Computer Name: HEIMPC Event Code: 105 Message: The service was started. Record Number: 1 Source Name: ATI Smart Time Written: 20090907184816.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Haufe\iDesk\iDeskService\;C:\2.0\bin;C:\Programme\Samsung\Samsun g PC Studio 3\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0a00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- |
|
28.04.2010, 21:16
| #2 |
  | Firefox öffnet neue Tabs Hi,
__________________Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter
C:\WINDOWS\system32\spmsg.dll
C:\WINDOWS\system32\573a7314.exe
C:\WINDOWS\system32\rptweuxogeiuoe.exe
Also wenn die Files (bis auf das erste) erkannt wurden, hier weiter: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\r_line
Files to delete:
C:\WINDOWS\system32\573a7314.exe
C:\WINDOWS\system32\rptweuxogeiuoe.exe
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: profitizeme browser enhancer - {3FD76F41-F21C-8284-84F8-A3A042036FF0} - C:\WINDOWS\system32\fscgozauzzwcrahdd.dll (file missing)
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Falls GMER nicht läuft, im abgesicherten Modus probieren (F8 beim Booten!) chris
__________________ |
|
29.04.2010, 13:14
| #3 |
| | Firefox öffnet neue Tabs So ich hoffe, dass ich alles richtig gemacht habe.
__________________VirusTotal Datei spmsg.dll empfangen 2010.04.29 09:54:39 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.29 - AhnLab-V3 5.0.0.2 2010.04.29 - AntiVir 8.2.1.224 2010.04.29 - Antiy-AVL 2.0.3.7 2010.04.29 - Authentium 5.2.0.5 2010.04.29 - Avast 4.8.1351.0 2010.04.29 - Avast5 5.0.332.0 2010.04.29 - AVG 9.0.0.787 2010.04.29 - BitDefender 7.2 2010.04.29 - CAT-QuickHeal 10.00 2010.04.29 - ClamAV 0.96.0.3-git 2010.04.29 - Comodo 4710 2010.04.29 - DrWeb 5.0.2.03300 2010.04.29 - eSafe 7.0.17.0 2010.04.28 - eTrust-Vet 35.2.7457 2010.04.29 - F-Prot 4.5.1.85 2010.04.28 - F-Secure 9.0.15370.0 2010.04.29 - Fortinet 4.0.14.0 2010.04.27 - GData 21 2010.04.29 - Ikarus T3.1.1.80.0 2010.04.29 - Jiangmin 13.0.900 2010.04.29 - Kaspersky 7.0.0.125 2010.04.29 - McAfee 5.400.0.1158 2010.04.29 - McAfee-GW-Edition 6.8.5 2010.04.29 - Microsoft 1.5703 2010.04.29 - NOD32 5071 2010.04.29 - Norman 6.04.12 2010.04.29 - nProtect 2010-04-29.01 2010.04.29 - Panda 10.0.2.7 2010.04.28 - PCTools 7.0.3.5 2010.04.29 - Prevx 3.0 2010.04.29 - Rising 22.45.03.03 2010.04.29 - Sophos 4.53.0 2010.04.29 - Sunbelt 6235 2010.04.28 - Symantec 20091.2.0.41 2010.04.29 - TheHacker 6.5.2.0.272 2010.04.28 - TrendMicro 9.120.0.1004 2010.04.29 - TrendMicro-HouseCall 9.120.0.1004 2010.04.29 - VBA32 3.12.12.4 2010.04.28 - ViRobot 2010.4.27.2295 2010.04.28 - VirusBuster 5.0.27.0 2010.04.28 - weitere Informationen File size: 14640 bytes MD5...: d0ab8b441ebad7ffc4f1cc4890e35a9b SHA1..: c5b28fb1e3ba89abf6b3d01cb0ed5fd48b64fd64 SHA256: 721ce6dad3d531b76654b634ca22c3e4e3e3b253853998820792fcd724550b80 ssdeep: 192:m3W0doplWpQdvz9L/CldolMGoVOu39DKmHj78Rmw:m3W027WpQdvz9LCcM4a eWqm PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x0 timedatestamp.....: 0x44f34fa1 (Mon Aug 28 20:18:41 2006) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 .rsrc 0x1000 0x1668 0x1800 3.38 ccda754b564b442f437001ef80283396 .reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee ( 0 imports ) ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Service Pack Messages original name: spmsg.dll internal name: spmsg.dll file version.: 6.3.0003.0 built by: dnsrv comments.....: n/a signers......: Microsoft Corporation Microsoft Code Signing PCA Microsoft Root Authority signing date.: 12:10 AM 8/29/2006 verified.....: - Datei 573a7314.exe empfangen 2010.04.29 09:58:42 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/41 (7.32%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.29 - AhnLab-V3 5.0.0.2 2010.04.29 - AntiVir 8.2.1.224 2010.04.29 - Antiy-AVL 2.0.3.7 2010.04.29 - Authentium 5.2.0.5 2010.04.29 - Avast 4.8.1351.0 2010.04.29 - Avast5 5.0.332.0 2010.04.29 - AVG 9.0.0.787 2010.04.29 - BitDefender 7.2 2010.04.29 - CAT-QuickHeal 10.00 2010.04.29 - ClamAV 0.96.0.3-git 2010.04.29 - Comodo 4710 2010.04.29 - DrWeb 5.0.2.03300 2010.04.29 - eSafe 7.0.17.0 2010.04.28 - eTrust-Vet 35.2.7457 2010.04.29 - F-Prot 4.5.1.85 2010.04.28 - F-Secure 9.0.15370.0 2010.04.29 - Fortinet 4.0.14.0 2010.04.27 - GData 21 2010.04.29 - Ikarus T3.1.1.80.0 2010.04.29 - Jiangmin 13.0.900 2010.04.29 - Kaspersky 7.0.0.125 2010.04.29 - McAfee 5.400.0.1158 2010.04.29 - McAfee-GW-Edition 6.8.5 2010.04.29 - Microsoft 1.5703 2010.04.29 - NOD32 5071 2010.04.29 - Norman 6.04.12 2010.04.29 W32/AdSpy.Q nProtect 2010-04-29.01 2010.04.29 - Panda 10.0.2.7 2010.04.28 Suspicious file PCTools 7.0.3.5 2010.04.29 - Prevx 3.0 2010.04.29 High Risk Cloaked Malware Rising 22.45.03.03 2010.04.29 - Sophos 4.53.0 2010.04.29 - Sunbelt 6235 2010.04.28 - Symantec 20091.2.0.41 2010.04.29 - TheHacker 6.5.2.0.272 2010.04.28 - TrendMicro 9.120.0.1004 2010.04.29 - TrendMicro-HouseCall 9.120.0.1004 2010.04.29 - VBA32 3.12.12.4 2010.04.28 - ViRobot 2010.4.27.2295 2010.04.28 - VirusBuster 5.0.27.0 2010.04.28 - weitere Informationen File size: 96704 bytes MD5...: 9db5904ea8160a2abdc888dc0e8551c4 SHA1..: 824d250341b2da6c46761481cf4a03fb50fb1992 SHA256: b5fb11df4710af9148f2f28f360dea16545f84086caef9baab9810c9279f404a ssdeep: 1536:zQpQ5EP0ijnRTXJR7gDCbWxZmZBkWorZFuZ19SlfM03aFHQPisDV4wvC:zQ IURTXJR7gWb7IW+FuZ1c5D3aYDuwvC PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x323c timedatestamp.....: 0x4a2ae2a2 (Sat Jun 06 21:41:54 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5a5a 0x5c00 6.42 0bc2ffd32265a08d72b795b18265828d .rdata 0x7000 0x1190 0x1200 5.18 f179218a059068529bdb4637ef5fa28e .data 0x9000 0x1af98 0x400 4.71 975304d6dd6c4a4f076b15511e2bbbc0 .ndata 0x24000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x2f000 0x980 0xa00 4.62 6cb714d5cab8244c11b7b22ed80c2916 ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 <a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=946B7326C072257B792201D33F4F7B003BACB22F' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=946B7326C072257B792201D33F4F7B003BACB22F</a> packers (F-Prot): NSIS Datei rptweuxogeiuoe.exe empfangen 2010.04.29 10:00:31 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.29 - AhnLab-V3 5.0.0.2 2010.04.29 - AntiVir 8.2.1.224 2010.04.29 - Antiy-AVL 2.0.3.7 2010.04.29 - Authentium 5.2.0.5 2010.04.29 - Avast 4.8.1351.0 2010.04.29 - Avast5 5.0.332.0 2010.04.29 - AVG 9.0.0.787 2010.04.29 - BitDefender 7.2 2010.04.29 - CAT-QuickHeal 10.00 2010.04.29 - ClamAV 0.96.0.3-git 2010.04.29 - Comodo 4710 2010.04.29 - DrWeb 5.0.2.03300 2010.04.29 - eSafe 7.0.17.0 2010.04.28 - eTrust-Vet 35.2.7457 2010.04.29 - F-Prot 4.5.1.85 2010.04.28 - F-Secure 9.0.15370.0 2010.04.29 - Fortinet 4.0.14.0 2010.04.27 - GData 21 2010.04.29 - Ikarus T3.1.1.80.0 2010.04.29 - Jiangmin 13.0.900 2010.04.29 - Kaspersky 7.0.0.125 2010.04.29 - McAfee 5.400.0.1158 2010.04.29 - McAfee-GW-Edition 6.8.5 2010.04.29 - Microsoft 1.5703 2010.04.29 - NOD32 5071 2010.04.29 - Norman 6.04.12 2010.04.29 - nProtect 2010-04-29.01 2010.04.29 - Panda 10.0.2.7 2010.04.28 - PCTools 7.0.3.5 2010.04.29 - Prevx 3.0 2010.04.29 - Rising 22.45.03.03 2010.04.29 - Sophos 4.53.0 2010.04.29 - Sunbelt 6235 2010.04.28 - Symantec 20091.2.0.41 2010.04.29 - TheHacker 6.5.2.0.272 2010.04.28 - TrendMicro 9.120.0.1004 2010.04.29 - TrendMicro-HouseCall 9.120.0.1004 2010.04.29 - VBA32 3.12.12.4 2010.04.28 - ViRobot 2010.4.27.2295 2010.04.28 - VirusBuster 5.0.27.0 2010.04.28 - weitere Informationen File size: 50994 bytes MD5...: ee12d6e3a4d8f1fd899e0c1d476d1642 SHA1..: 3fa01eb1e1b8ebc741aeeb55727da4e89f9612fb SHA256: 0e3a19fc11ae945079aa2d725c85a1f4aba67a7e0b3141e68312be92f2ebf896 ssdeep: 1536:VSV8/DcCDCMMkG0DaXJp5nFd5SqwwbFh3vJsF:VS8BCfoDaXJp5XgqDBh3v qF PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x325e timedatestamp.....: 0x4b1ae3d2 (Sat Dec 05 22:50:58 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5dc8 0x5e00 6.51 e80992014f71a8d74a073aae70d08af5 .rdata 0x7000 0x129c 0x1400 5.05 c9f64a3006462e830a22bdd4740678e5 .data 0x9000 0x25c98 0x400 4.88 a81e24eb26c207ab205634c089d49bbd .ndata 0x2f000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x3c000 0x9e8 0xa00 4.42 5dc1d2e44f72ef12149ee36f892fee1b ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 packers (F-Prot): NSIS Avenger Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\573a7314.exe" deleted successfully. File "C:\WINDOWS\system32\rptweuxogeiuoe.exe" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\r_line" deleted successfully. Completed script processing. ******************* Finished! Terminate. OTL OTL logfile created on: 29.04.2010 12:26:21 - Run 2 OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 255,00 Mb Total Physical Memory | 46,00 Mb Available Physical Memory | 18,00% Memory free 618,00 Mb Paging File | 282,00 Mb Available in Paging File | 46,00% Paging File free Paging file location(s): C:\pagefile.sys 384 768 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 16,60 Gb Total Space | 6,13 Gb Free Space | 36,93% Space Free | Partition Type: NTFS Drive D: | 48,83 Gb Total Space | 43,41 Gb Free Space | 88,90% Space Free | Partition Type: NTFS Drive E: | 49,06 Gb Total Space | 37,84 Gb Free Space | 77,14% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: HEIMPC Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc.) PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) PRC - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (SEIKO EPSON CORPORATION) PRC - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (npkcmsvc) -- File not found SRV - (HideMyIpSRV) -- File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (SecureSrv) -- C:\WINDOWS\system32\SecureSrv.log () SRV - (HRService) -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe () SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (EPSONStatusAgent2) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (SEIKO EPSON CORPORATION) SRV - (EpsonBidirectionalService) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe () ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (taphss) -- C:\WINDOWS\system32\drivers\taphss.sys (AnchorFree Inc) DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (Mkd2kfNt) -- C:\WINDOWS\system32\drivers\Mkd2kfNT.sys (AhnLab, Inc.) DRV - (Mkd2Nadr) -- C:\WINDOWS\system32\drivers\Mkd2Nadr.sys (AhnLab, Inc.) DRV - (StarOpen) -- C:\WINDOWS\system32\drivers\StarOpen.sys () DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (RT25USBAP) -- C:\WINDOWS\system32\drivers\RT25USBAP.SYS (Ralink Technology Inc.) DRV - (ss_mdm) -- C:\WINDOWS\system32\drivers\ss_mdm.sys (MCCI) DRV - (ss_mdfl) -- C:\WINDOWS\system32\drivers\ss_mdfl.sys (MCCI) DRV - (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) -- C:\WINDOWS\system32\drivers\ss_bus.sys (MCCI) DRV - (npkcrypt) -- C:\WINDOWS\system32\npkcrypt.dll (INCA Internet Co., Ltd.) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (viaagp1) -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.) DRV - (V124) -- C:\WINDOWS\system32\drivers\HSF_V124.sys (Conexant) DRV - (Tones) -- C:\WINDOWS\system32\drivers\HSF_TONE.sys (Conexant) DRV - (hsf_msft) -- C:\WINDOWS\system32\drivers\HSF_MSFT.sys (Conexant) DRV - (Rksample) -- C:\WINDOWS\system32\drivers\HSF_SAMP.sys (Conexant) DRV - (K56) -- C:\WINDOWS\system32\drivers\HSF_K56K.sys (Conexant) DRV - (Fallback) -- C:\WINDOWS\system32\drivers\HSF_FALL.sys (Conexant) DRV - (SoftFax) -- C:\WINDOWS\system32\drivers\HSF_FAXX.sys (Conexant) DRV - (Fsks) -- C:\WINDOWS\system32\drivers\HSF_FSKS.sys (Conexant) DRV - (basic2) -- C:\WINDOWS\system32\drivers\HSF_BSC2.sys (Conexant) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Reg Error: Unknown registry data type IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\Software\Microsoft\Internet Explorer\SearchURL\w, = Reg Error: Unknown registry data type IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Reg Error: Unknown registry data type IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\w, = Reg Error: Unknown registry data type IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546 FF - prefs.js..extensions.enabledItems: {b7d6641f-d0f6-c70c-9397-cb7ac20b747e}:4.6.6.6 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.06 18:56:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.02 18:09:43 | 000,000,000 | ---D | M] [2009.02.14 15:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.04.28 20:48:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions [2009.09.03 15:21:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.05.04 15:50:54 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010.03.24 13:50:15 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2009.12.16 15:35:14 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\conduit.xml [2010.03.01 18:32:47 | 000,002,280 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\google-und-download-suche.xml [2009.10.25 16:38:22 | 000,002,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\MyStart Search.xml [2010.04.28 20:48:22 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2009.02.14 15:30:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.04.26 17:23:49 | 000,000,000 | ---D | M] (z) -- C:\Programme\Mozilla Firefox\extensions\{b7d6641f-d0f6-c70c-9397-cb7ac20b747e} [2010.03.09 15:06:12 | 000,238,776 | ---- | M] (Pando Networks) -- C:\Programme\Mozilla Firefox\plugins\npPandoWebInst.dll [2010.03.23 17:16:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.23 17:16:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.23 17:16:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.23 17:16:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.23 17:16:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml Hosts file not found O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.) O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {65742936-8079-408B-9F3C-874B78030A72} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe (Sony Corporation) O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WMC_AutoUpdate] File not found O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc.) O4 - HKCU..\Run: [BD] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.) O4 - HKCU..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.) O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\PrxerNsp.dll ( ) O15 - HKCU\..Trusted Domains: ([]msn in My Computer) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.10.18 20:38:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.03.24 14:22:10 | 000,000,100 | ---- | M] () - E:\AUTORUN.INF -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.exe \??\C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.dat) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.29 12:25:38 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.04.29 12:07:15 | 000,000,000 | ---D | C] -- C:\Avenger [2010.04.28 16:34:57 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.04.28 11:22:14 | 000,014,640 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll [2010.04.25 19:50:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Garten [2010.04.18 13:11:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR [2010.04.16 22:01:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Bakkushan [2010.04.16 10:16:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\coredb [2010.04.16 10:15:00 | 001,287,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ole32.dll [2010.04.13 14:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\CDex_170b2 [2010.04.06 17:26:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.04.06 17:26:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.04.04 12:17:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira [2010.04.01 22:45:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.04.01 22:38:36 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.04.01 22:38:33 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.04.01 22:38:33 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.04.01 22:38:33 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.04.01 22:38:33 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.04.01 22:38:27 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.04.01 22:38:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.04.01 20:59:45 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.04.01 20:58:16 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.04.01 20:58:16 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.04.01 20:58:16 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.04.01 20:58:16 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.04.01 20:57:50 | 000,000,000 | ---D | C] -- C:\Programme\Java [2008.10.13 17:48:05 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\PrxerNsp.dll [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.29 12:25:39 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.04.29 12:22:38 | 000,000,431 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics [2010.04.29 12:21:23 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.29 12:17:40 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.29 12:17:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.29 12:06:38 | 009,437,184 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.dat [2010.04.29 12:06:38 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.04.29 12:03:52 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Avenger.exe [2010.04.28 16:33:46 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe [2010.04.28 15:37:39 | 000,002,136 | ---- | M] () -- C:\WINDOWS\System32\mycom.crt [2010.04.28 15:22:46 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Viren.lnk [2010.04.28 11:21:39 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb [2010.04.28 11:21:39 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb [2010.04.26 10:52:05 | 000,052,224 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Protokoll Off-Versammlung 16.04.2010.doc [2010.04.25 14:49:56 | 000,000,959 | ---- | M] () -- C:\WINDOWS\win.ini [2010.04.25 14:49:56 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010.04.25 14:49:56 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.04.16 10:14:57 | 001,287,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ole32.dll [2010.04.01 23:28:42 | 003,260,866 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.04.01 22:39:03 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.04.01 20:57:57 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll [2010.04.01 20:57:57 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.04.01 20:57:57 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.04.01 20:57:57 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.04.01 20:57:57 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.29 12:03:51 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Avenger.exe [2010.04.28 16:33:45 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe [2010.04.28 15:22:48 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Viren.lnk [2010.04.26 20:38:33 | 000,052,224 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Protokoll Off-Versammlung 16.04.2010.doc [2010.04.25 18:23:41 | 000,005,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\resetlog.txt [2010.04.16 10:16:33 | 000,002,136 | ---- | C] () -- C:\WINDOWS\System32\mycom.crt [2010.04.01 22:39:03 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2009.11.14 18:25:40 | 000,888,832 | ---- | C] () -- C:\WINDOWS\System32\securenet.dll [2009.11.01 14:41:41 | 000,001,015 | ---- | C] () -- C:\WINDOWS\ATICIM.INI [2009.05.02 16:58:37 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI [2009.03.08 15:51:20 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest [2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest [2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2008.07.24 17:13:25 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2008.06.18 15:59:56 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.04.14 18:54:45 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI [2007.09.28 17:17:59 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\Unlha32.dll [2007.09.28 17:17:58 | 000,473,600 | ---- | C] () -- C:\WINDOWS\System32\Harmony.dll [2007.05.21 13:32:58 | 000,081,332 | ---- | C] () -- C:\WINDOWS\System32\bass.dll [2007.02.24 18:41:55 | 000,003,038 | ---- | C] () -- C:\WINDOWS\tm.ini [2006.03.12 17:31:47 | 000,000,086 | ---- | C] () -- C:\WINDOWS\WinFight.ini [2005.11.11 14:46:28 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2005.02.26 12:35:43 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2005.01.07 23:19:30 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini [2005.01.02 16:52:19 | 000,000,152 | ---- | C] () -- C:\WINDOWS\MatheTiger3.ini [2004.11.09 22:35:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2004.10.18 22:52:06 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EEBAPI.dll [2004.10.18 22:52:06 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\EEBDSCVR.dll [2004.10.18 22:52:06 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\EBAPI.dll [2004.10.18 21:42:24 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini [2004.10.18 21:35:23 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2004.10.18 21:35:21 | 001,892,352 | R--- | C] () -- C:\WINDOWS\System32\cmiwcnfg.dll [2004.10.18 21:20:30 | 000,000,524 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll [2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll [2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 @Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:53C9FE0C @Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:F085C8A1 < End of report > |
|
29.04.2010, 13:15
| #4 |
| | Firefox öffnet neue Tabs Hier noch die anderen, die eben nicht gepasst haben. OTL Etxtra OTL Extras logfile created on: 29.04.2010 12:26:21 - Run 2 OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 255,00 Mb Total Physical Memory | 46,00 Mb Available Physical Memory | 18,00% Memory free 618,00 Mb Paging File | 282,00 Mb Available in Paging File | 46,00% Paging File free Paging file location(s): C:\pagefile.sys 384 768 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 16,60 Gb Total Space | 6,13 Gb Free Space | 36,93% Space Free | Partition Type: NTFS Drive D: | 48,83 Gb Total Space | 43,41 Gb Free Space | 88,90% Space Free | Partition Type: NTFS Drive E: | 49,06 Gb Total Space | 37,84 Gb Free Space | 77,14% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: HEIMPC Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation) https [open] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "56397:TCP" = 56397:TCP:*:Enabled:Pando Media Booster "56397:UDP" = 56397:UDP:*:Enabled:Pando Media Booster "58043:TCP" = 58043:TCP:*:Enabled:Pando Media Booster "58043:UDP" = 58043:UDP:*:Enabled:Pando Media Booster [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002 "56397:TCP" = 56397:TCP:*:Enabled:Pando Media Booster "56397:UDP" = 56397:UDP:*:Enabled:Pando Media Booster "58043:TCP" = 58043:TCP:*:Enabled:Pando Media Booster "58043:UDP" = 58043:UDP:*:Enabled:Pando Media Booster "56993:TCP" = 56993:TCP:*:Enabled:Pando Media Booster "56993:UDP" = 56993:UDP:*:Enabled:Pando Media Booster "58741:TCP" = 58741:TCP:*:Enabled:Pando Media Booster "58741:UDP" = 58741:UDP:*:Enabled:Pando Media Booster ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\IncrediMail\bin\IMApp.exe" = C:\Programme\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.) "C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.) "C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.) "C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe" = C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe:*:Enabled:IncrediMail Installer -- () "C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe" = C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe:*:Enabled:NEXON_EU_Downloader_Engine -- () "E:\WonderKing\FLORA.exe" = E:\WonderKing\FLORA.exe:*:Enabled:FLORA.exe -- () "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager -- (Nexon) "C:\Programme\WiFiConnector\NintendoWFCReg.exe" = C:\Programme\WiFiConnector\NintendoWFCReg.exe:*:Enabled:Nintendo Wi-Fi USB Connector -- () "C:\WINDOWS\Temp\wpv371271400438.exe" = C:\WINDOWS\Temp\wpv371271400438.exe:*:Disabled:Installer Application -- File not found "C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.) "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe:*:Enabled:MapleStory Europe -- (Wizet) "C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe" = C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Disabled:McAfee Network Agent -- File not found "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe:*:Enabled:ASPLnchr.exe -- (AhnLab, Inc.) "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe:*:Enabled:Patcher.exe -- () "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe:*:Enabled:Setup -- () "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe:*:Enabled:hslogmgr.exe -- (AhnLab, Inc.) "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe:*:Enabled:HSUpdate.exe -- (AhnLab, Inc.) "D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe:*:Enabled:ahnrpt.exe -- (AhnLab, Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{05BBEFF9-0968-4259-9C81-7A46BDFD543D}" = Steuern sparen 2009 "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19 "{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2 "{29B3C64A-0F93-47CD-9C54-72C0C5578487}" = Samsung PC Studio "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{59C95D15-5F24-435E-898D-3806961FC79D}" = Steuer 2006 "{67DABCB4-239C-4E02-805E-DEA0DDCB1926}" = Steuer Hilfesammlung "{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD "{69496452-FAF3-43BC-9907-BA9CEC65FC10}" = Lexware Info Service "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762 "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A4E86B6A-6EEC-41FD-8960-26947F0E3353}" = Haufe iDesk-Service "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}" = PixiePack Codec Pack "{B2EFE303-A594-11D5-95EB-005004BC1C65}" = EPSON PhotoQuicker3.2 "{BA520FF6-E598-42D5-AF43-26AF0BD9DEF4}" = Steuern sparen 2009 "{BEAD39CD-901D-4267-8B8B-EAA83CB4B70D}" = Pivot Stickfigure Animator "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C1CAAF9E-2A80-4AD0-8D9A-B4327966249F}" = Paint.NET v3.20 "{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CFADE4AF-C0CF-4A04-A776-741318F1658F}" = Content Transfer "{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0 "{E96B5F8F-345A-43AF-82E4-5CFEB8616D2D}" = Steuern sparen 2008 "{E96FF910-1BC9-4EE5-BC12-0A30D4E20F37}" = NWZ-E440 WALKMAN Guide "{E9829F7E-5A2A-4D91-92BC-248E1A9F5BC8}" = GermanyWonderking "{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center "{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}" = Samsung PC Studio 3 USB Driver Installer "{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "573a7314" = Contextual Tool Profitmuse "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Photoshop 7.0" = Adobe Photoshop 7.0 "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "AhnLab Online Security" = AhnLab Online Security "All ATI Software" = ATI - Software Uninstall Utility "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "C-Media Audio Driver" = C-Media WDM Audio Driver "EPSON Printer and Utilities" = EPSON-Drucker-Software "Europe MapleStory_is1" = Europe MapleStory "Fraps" = Fraps "GIF Animator" = Microsoft GIF Animator "HijackThis" = HijackThis 2.0.2 "ie8" = Windows Internet Explorer 8 "IncrediMail" = IncrediMail "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition "npkcxp" = nProtect KeyCrypt "QuickTime" = QuickTime "RollerCoaster Tycoon Setup" = Roll "rptweuxogeiuoe" = Performance Maximizer Profitizeme "RTP 1.32 Add-On for RM2k" = RTP 1.32 Add-On for RM2k "RTP for RM2K (Png, Wav, Midi, Fonts)" = RTP for RM2K (Png, Wav, Midi, Fonts) "SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set "SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software "Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software "SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software "ToolbarICQToolbar.ICQToolbarObjectIEToolbar" = ICQ Toolbar "Tweak UI 2.10" = Tweak UI "Virtools3DLifePlayer" = Virtools 3D Life Player "Virtualdub 1.4.9" = Virtualdub 1.4.9 "VLC media player" = VLC media player 1.0.2 "WiFiConnector" = Registrierungsprogramm für den Nintendo Wi-Fi USB Connector "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinGTK-2_is1" = GTK+ 2.10.11 runtime environment "WinRAR archiver" = WinRAR archiver "WinZip" = WinZip "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "xp-AntiSpy" = xp-AntiSpy 3.97-6 "Yahoo! Companion" = Yahoo! Toolbar "Yahoo! Search Defender" = Yahoo! Suche Schutzvorkehrung "Yahoo! Toolbar" = Yahoo! Toolbar "YInstHelper" = Yahoo! Install Manager ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005 Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006 Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005 Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006 Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:56:35 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005 Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:56:35 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006 Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2. Error - 14.03.2010 07:59:25 | Computer Name = HEIMPC | Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. Error - 14.03.2010 08:14:47 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3685, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 15.03.2010 06:35:21 | Computer Name = HEIMPC | Source = McLogEvent | ID = 5051 Description = Error - 15.03.2010 16:52:31 | Computer Name = HEIMPC | Source = McLogEvent | ID = 5051 Description = [ System Events ] Error - 29.04.2010 06:11:04 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst WZCSVC. Error - 29.04.2010 06:14:25 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 29.04.2010 06:14:27 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 29.04.2010 06:17:57 | Computer Name = HEIMPC | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 29.04.2010 06:17:57 | Computer Name = HEIMPC | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 29.04.2010 06:19:45 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "npkcrypt" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 29.04.2010 06:21:00 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste. Error - 29.04.2010 06:21:00 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 29.04.2010 06:23:38 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 29.04.2010 06:23:58 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. < End of report > GMER GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-29 13:53:16 Windows 5.1.2600 Service Pack 3 Running: vl2qs52e.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uftdipoc.sys ---- System - GMER 1.0.15 ---- SSDT FA10CCE6 ZwCreateKey SSDT FA10CCDC ZwCreateThread SSDT FA10CCEB ZwDeleteKey SSDT FA10CCF5 ZwDeleteValueKey SSDT FA10CCFA ZwLoadKey SSDT FA10CCC8 ZwOpenProcess SSDT FA10CCCD ZwOpenThread SSDT FA10CD04 ZwReplaceKey SSDT FA10CCFF ZwRestoreKey SSDT FA10CCF0 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- .rsrc C:\WINDOWS\System32\DRIVERS\mouclass.sys entry point in ".rsrc" section [0xF9DC6814] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0091000A .text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes JMP 0092000A .text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 1 Byte [84] .text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0090000C .text C:\WINDOWS\System32\svchost.exe[1160] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 01DA000A .text C:\WINDOWS\System32\svchost.exe[1160] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 017C000A .text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A .text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BC000A .text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C ---- Devices - GMER 1.0.15 ---- Device -> \Driver\atapi \Device\Harddisk0\DR0 81949AC8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Classes\.application\bootstrap@ bootstrap.application.1 Reg HKLM\SOFTWARE\Classes\.cfxxe@ cfxxefile Reg HKLM\SOFTWARE\Classes\ASP.HostEncode\CLSID Reg HKLM\SOFTWARE\Classes\ASP.HostEncode\CLSID@ {0CF774D1-F077-11D1-B1BC-00C04F86C324} Reg HKLM\SOFTWARE\Classes\cfxxefile\shell Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open\command Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open\command@ "%1" %* Reg HKLM\SOFTWARE\Classes\ECMAScript@ JScript Language Reg HKLM\SOFTWARE\Classes\ECMAScript\CLSID Reg HKLM\SOFTWARE\Classes\ECMAScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\ECMAScript\OLEScript Reg HKLM\SOFTWARE\Classes\ECMAScript Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\ECMAScript Author\CLSID Reg HKLM\SOFTWARE\Classes\ECMAScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\ECMAScript Author\OLEScript Reg HKLM\SOFTWARE\Classes\HTML.HostEncode\CLSID Reg HKLM\SOFTWARE\Classes\HTML.HostEncode\CLSID@ {0CF774D0-F077-11D1-B1BC-00C04F86C324} Reg HKLM\SOFTWARE\Classes\JavaScript@ JScript Language Reg HKLM\SOFTWARE\Classes\JavaScript\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\JavaScript Author\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript Author\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript1.1@ JScript Language Reg HKLM\SOFTWARE\Classes\JavaScript1.1\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript1.1\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript1.1\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript1.2@ JScript Language Reg HKLM\SOFTWARE\Classes\JavaScript1.2\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript1.2\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript1.2\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\OLEScript Reg HKLM\SOFTWARE\Classes\JavaScript1.3@ JScript Language Reg HKLM\SOFTWARE\Classes\JavaScript1.3\CLSID Reg HKLM\SOFTWARE\Classes\JavaScript1.3\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JavaScript1.3\OLEScript Reg HKLM\SOFTWARE\Classes\JScript@ JScript Language Reg HKLM\SOFTWARE\Classes\JScript\CLSID Reg HKLM\SOFTWARE\Classes\JScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JScript\OLEScript Reg HKLM\SOFTWARE\Classes\JScript Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\JScript Author\CLSID Reg HKLM\SOFTWARE\Classes\JScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JScript Author\OLEScript Reg HKLM\SOFTWARE\Classes\JScript.Compact@ JScript Compact Profile (ECMA 327) Reg HKLM\SOFTWARE\Classes\JScript.Compact\CLSID Reg HKLM\SOFTWARE\Classes\JScript.Compact\CLSID@ {cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} Reg HKLM\SOFTWARE\Classes\JScript.Compact\OLEScript Reg HKLM\SOFTWARE\Classes\JScript.Compact Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\CLSID Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\OLEScript Reg HKLM\SOFTWARE\Classes\JScript.Encode@ JScript Language Encoding Reg HKLM\SOFTWARE\Classes\JScript.Encode\CLSID Reg HKLM\SOFTWARE\Classes\JScript.Encode\CLSID@ {f414c262-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\JScript.Encode\OLEScript Reg HKLM\SOFTWARE\Classes\JSFile.HostEncode\CLSID Reg HKLM\SOFTWARE\Classes\JSFile.HostEncode\CLSID@ {85131630-480C-11D2-B1F9-00C04F86C324} Reg HKLM\SOFTWARE\Classes\LiveScript@ JScript Language Reg HKLM\SOFTWARE\Classes\LiveScript\CLSID Reg HKLM\SOFTWARE\Classes\LiveScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\LiveScript\OLEScript Reg HKLM\SOFTWARE\Classes\LiveScript Author@ JScript Language Authoring Reg HKLM\SOFTWARE\Classes\LiveScript Author\CLSID Reg HKLM\SOFTWARE\Classes\LiveScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Reg HKLM\SOFTWARE\Classes\LiveScript Author\OLEScript Reg HKLM\SOFTWARE\Classes\RDS.DataControl@ RDS.DataControl Reg HKLM\SOFTWARE\Classes\RDS.DataControl\Clsid Reg HKLM\SOFTWARE\Classes\RDS.DataControl\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E33} Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81@ RDS.DataControl Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81\Clsid Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E33} Reg HKLM\SOFTWARE\Classes\RDS.DataSpace@ RDS.DataSpace Reg HKLM\SOFTWARE\Classes\RDS.DataSpace\Clsid Reg HKLM\SOFTWARE\Classes\RDS.DataSpace\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E36} Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81@ RDS.DataSpace Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81\Clsid Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E36} Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary@ Scripting.Dictionary Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary\CLSID Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary\CLSID@ {EE09B103-97E0-11CF-978F-00A02463E06F} Reg HKLM\SOFTWARE\Classes\Scripting.Encoder@ Script Encoder Object Reg HKLM\SOFTWARE\Classes\Scripting.Encoder\CLSID Reg HKLM\SOFTWARE\Classes\Scripting.Encoder\CLSID@ {32DA2B15-CFED-11D1-B747-00C04FC2B085} Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject@ FileSystem Object Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject\CLSID Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject\CLSID@ {0D43FE01-F093-11CF-8940-00A0C9054228} Reg HKLM\SOFTWARE\Classes\VBS@ VB Script Language Reg HKLM\SOFTWARE\Classes\VBS\CLSID Reg HKLM\SOFTWARE\Classes\VBS\CLSID@ {B54F3741-5B07-11cf-A4B0-00AA004A55E8} Reg HKLM\SOFTWARE\Classes\VBS\OLEScript Reg HKLM\SOFTWARE\Classes\VBS Author@ VB Script Language Authoring Reg HKLM\SOFTWARE\Classes\VBS Author\CLSID Reg HKLM\SOFTWARE\Classes\VBS Author\CLSID@ {B54F3742-5B07-11cf-A4B0-00AA004A55E8} Reg HKLM\SOFTWARE\Classes\VBS Author\OLEScript Reg HKLM\SOFTWARE\Classes\VBScript@ VB Script Language Reg HKLM\SOFTWARE\Classes\VBScript\CLSID Reg HKLM\SOFTWARE\Classes\VBScript\CLSID@ {B54F3741-5B07-11cf-A4B0-00AA004A55E8} Reg HKLM\SOFTWARE\Classes\VBScript\OLEScript Reg HKLM\SOFTWARE\Classes\VBScript Author@ VB Script Language Authoring Reg HKLM\SOFTWARE\Classes\VBScript Author\CLSID Reg HKLM\SOFTWARE\Classes\VBScript Author\CLSID@ {B54F3742-5B07-11cf-A4B0-00AA004A55E8} Reg HKLM\SOFTWARE\Classes\VBScript Author\OLEScript Reg HKLM\SOFTWARE\Classes\VBScript.Encode@ VBScript Language Encoding Reg HKLM\SOFTWARE\Classes\VBScript.Encode\CLSID Reg HKLM\SOFTWARE\Classes\VBScript.Encode\CLSID@ {B54F3743-5B07-11cf-A4B0-00AA004A55E8} Reg HKLM\SOFTWARE\Classes\VBScript.Encode\OLEScript Reg HKLM\SOFTWARE\Classes\VBScript.RegExp@ VBScript Regular Expression Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\CLSID Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\CLSID@ {3F4DACA4-160D-11D2-A8E9-00104B365C9F} Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\OLEScript Reg HKLM\SOFTWARE\Classes\VBSFile.HostEncode\CLSID Reg HKLM\SOFTWARE\Classes\VBSFile.HostEncode\CLSID@ {85131631-480C-11D2-B1F9-00C04F86C324} ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\System32\DRIVERS\mouclass.sys suspicious modification File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification ---- EOF - GMER 1.0.15 ---- |
|
29.04.2010, 20:57
| #5 |
| | Firefox öffnet neue Tabs Hi, Rootkit im Einsatz auf Deinem Rechner... Hmm.... Keule oder chirugischer Eingriff? Okay, wegen der Vorgeschichte Keule! Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
30.04.2010, 12:10
| #6 |
| | Firefox öffnet neue Tabs So ich hab ComboFix ausgeführt aber irgendwie gab es da Probleme. Nach dem Neustart konnte CF nicht mehr gestartet werden. Es kam nur dieses Fenster mit ''Webdienst für die Suche nach einem geeigneten Programm benutzen, etc.'' In dem Log steht nur dies: ComboFix 10-04-29.05 - *** 30.04.2010 12:28:55.2.1 - x86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe . |
|
30.04.2010, 12:20
| #7 |
| | Firefox öffnet neue Tabs Hi, der Rechner läuft aber noch? Das wird happig bzw. kann gefährlich werden. Backup vorhanden, falls sich die Antimalwaretools und das Rookit ineinander verhacken, kann es passieren, dass der Rechner nicht mehr bootet! Das Rootkit hat sich u. a. in einen Low-Level-Treiber für die Festplatte eingenistet, wenn die Entfernung schief geht, bootet Windows auch nicht mehr (ist bis jetzt einmal passiert)... Combofix entfernen: Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken... Das sieht dann so aus, als ob die Herren/Damen Malwareprogrammier uns einen Schritt voraus sind. TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150 Entpacke alle Dateien! Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code:
ATTFilter @ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. Cureit (kommt auch mit TDSS zurecht, aber eventuell hast Du eine ganz neue Version drauf): http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
30.04.2010, 13:04
| #8 |
| | Firefox öffnet neue Tabs Soll ich einen FullScan mit CureIT machen? Hier ist schon mal der erste Log. Der von CureIT kommt etwas später. 13:39:56:712 3992 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04 13:39:56:712 3992 ================================================================================ 13:39:56:712 3992 SystemInfo: 13:39:56:712 3992 OS Version: 5.1.2600 ServicePack: 3.0 13:39:56:712 3992 Product type: Workstation 13:39:56:712 3992 ComputerName: HEIMPC 13:39:56:712 3992 UserName: *** 13:39:56:712 3992 Windows directory: C:\WINDOWS 13:39:56:712 3992 Processor architecture: Intel x86 13:39:56:712 3992 Number of processors: 1 13:39:56:712 3992 Page size: 0x1000 13:39:56:712 3992 Boot type: Normal boot 13:39:56:712 3992 ================================================================================ 13:39:56:732 3992 UnloadDriverW: NtUnloadDriver error 2 13:39:56:732 3992 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2 13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system 13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 13:39:56:872 3992 wfopen_ex: Trying to KLMD file open 13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2) 13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software 13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 13:39:56:872 3992 wfopen_ex: Trying to KLMD file open 13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2) 13:39:56:872 3992 Initialize success 13:39:56:872 3992 13:39:56:872 3992 Scanning Services ... 13:39:57:303 3992 Raw services enum returned 354 services 13:39:57:313 3992 13:39:57:313 3992 Scanning Kernel memory ... 13:39:57:313 3992 Devices to scan: 4 13:39:57:313 3992 13:39:57:313 3992 Driver Name: Disk 13:39:57:313 3992 IRP_MJ_CREATE : F9A78BB0 13:39:57:313 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 13:39:57:313 3992 IRP_MJ_CLOSE : F9A78BB0 13:39:57:313 3992 IRP_MJ_READ : F9A72D1F 13:39:57:313 3992 IRP_MJ_WRITE : F9A72D1F 13:39:57:313 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E 13:39:57:313 3992 IRP_MJ_SET_INFORMATION : 804FA88E 13:39:57:313 3992 IRP_MJ_QUERY_EA : 804FA88E 13:39:57:313 3992 IRP_MJ_SET_EA : 804FA88E 13:39:57:313 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2 13:39:57:313 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 13:39:57:313 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 13:39:57:313 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 13:39:57:313 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 13:39:57:313 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB 13:39:57:313 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28 13:39:57:313 3992 IRP_MJ_SHUTDOWN : F9A732E2 13:39:57:313 3992 IRP_MJ_LOCK_CONTROL : 804FA88E 13:39:57:313 3992 IRP_MJ_CLEANUP : 804FA88E 13:39:57:313 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E 13:39:57:313 3992 IRP_MJ_QUERY_SECURITY : 804FA88E 13:39:57:313 3992 IRP_MJ_SET_SECURITY : 804FA88E 13:39:57:313 3992 IRP_MJ_POWER : F9A74C82 13:39:57:313 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E 13:39:57:313 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E 13:39:57:313 3992 IRP_MJ_QUERY_QUOTA : 804FA88E 13:39:57:313 3992 IRP_MJ_SET_QUOTA : 804FA88E 13:39:57:343 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 13:39:57:353 3992 13:39:57:353 3992 Driver Name: Disk 13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0 13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0 13:39:57:353 3992 IRP_MJ_READ : F9A72D1F 13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F 13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2 13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB 13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28 13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2 13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E 13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E 13:39:57:353 3992 IRP_MJ_POWER : F9A74C82 13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E 13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E 13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 13:39:57:353 3992 13:39:57:353 3992 Driver Name: Disk 13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0 13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0 13:39:57:353 3992 IRP_MJ_READ : F9A72D1F 13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F 13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2 13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB 13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28 13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2 13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E 13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E 13:39:57:353 3992 IRP_MJ_POWER : F9A74C82 13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E 13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E 13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 13:39:57:353 3992 13:39:57:353 3992 Driver Name: atapi 13:39:57:353 3992 IRP_MJ_CREATE : F997E6F2 13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E 13:39:57:353 3992 IRP_MJ_CLOSE : F997E6F2 13:39:57:353 3992 IRP_MJ_READ : 804FA88E 13:39:57:353 3992 IRP_MJ_WRITE : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E 13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : 804FA88E 13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E 13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E 13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E 13:39:57:363 3992 IRP_MJ_DEVICE_CONTROL : F997E712 13:39:57:363 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F997A852 13:39:57:363 3992 IRP_MJ_SHUTDOWN : 804FA88E 13:39:57:363 3992 IRP_MJ_LOCK_CONTROL : 804FA88E 13:39:57:363 3992 IRP_MJ_CLEANUP : 804FA88E 13:39:57:363 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E 13:39:57:363 3992 IRP_MJ_QUERY_SECURITY : 804FA88E 13:39:57:363 3992 IRP_MJ_SET_SECURITY : 804FA88E 13:39:57:363 3992 IRP_MJ_POWER : F997E73C 13:39:57:363 3992 IRP_MJ_SYSTEM_CONTROL : F9985336 13:39:57:363 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E 13:39:57:363 3992 IRP_MJ_QUERY_QUOTA : 804FA88E 13:39:57:363 3992 IRP_MJ_SET_QUOTA : 804FA88E 13:39:57:443 3992 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1 13:39:57:443 3992 13:39:57:443 3992 Completed 13:39:57:443 3992 13:39:57:443 3992 Results: 13:39:57:443 3992 Memory objects infected / cured / cured on reboot: 0 / 0 / 0 13:39:57:443 3992 Registry objects infected / cured / cured on reboot: 0 / 0 / 0 13:39:57:443 3992 File objects infected / cured / cured on reboot: 0 / 0 / 0 13:39:57:443 3992 |
|
30.04.2010, 13:40
| #9 |
| | Firefox öffnet neue Tabs Hi, entweder CF hat es geschafft die Treiber durch saubere kopien zu ersetzen, oder es ist eine neue Variante die der Killer noch nicht kennt... Mal sehen was CureIT sagt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
02.05.2010, 11:59
| #10 |
| | Firefox öffnet neue Tabs Da stand nirgendwo was von ''infiziert''. Soll ich nochmal einen Fullscan machen? |
|
02.05.2010, 18:37
| #11 |
| | Firefox öffnet neue Tabs Hi, entweder GMER hat sich geirrt, oder es ist was oberfaul... Suchen wir nochmal mit GMER (abgesicherter Modus, F8 beim Booten): Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. OSAM Prüft Programme/Treiber die gestartet werden. Folge den Anweisungen hier http://www.trojaner-board.de/84180-a...n-manager.html zur Erstellung eines Logs und poste das hier in Deinem Thread. Combofix entfernen (falls noch nicht erfolgt!): Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken... Dann die neue Version probieren (wird jeden Tag neu zusammengebaut!)... Probier den auch im abgesicherten Modus! Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Firefox öffnet neue Tabs |
| adware.agent, antivir, antivir guard, appdatalow, avgntflt.sys, avira, browser, desktop, downloader, einstellungen, excel, firefox, flash player, fontcache, helper, hijack, hkus\s-1-5-18, install.exe, installation, mozilla, msiexec.exe, neue tabs, nodrives, pando media booster, plug-in, problem, proxy, realtek, registry, rundll, software, spyware.passwords, staropen, starten, studio, svchost.exe, tcp/ip, usb, viren, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst |
Linear-Darstellung
