| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: APPL/AdInstaller.GWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.05.2010, 13:18
| #1 |
 |  APPL/AdInstaller.G Hallo lt google hab ich da ein rootkit prob, aber alle dort angegebenen lösungswege beinhalten ein mach-platt-und-neu... Und ihr wisst wie Frauen sind... lieeeeeeeber nicht!! Also, der antivir hat halt og Untier gefunden und in quarantäne gesetzt. Damit ist das Prob aber nicht behoben, oder? Und im HJT log findet ihr warscheinlich haufenweise Müll... : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:10:47, on 02.05.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe c:\programme\avira\antivir desktop\avcenter.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Alice\Signup\AliceCnn.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing) O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204221640026 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{856E290E-9546-4680-96E5-CE3E9D5B667E}: NameServer = 62.109.123.196 213.191.74.18 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7446 bytes Zu Hülf... dankeschön! Ett Ell |
|
03.05.2010, 18:34
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | APPL/AdInstaller.GZitat:
__________________ |
|
03.05.2010, 21:11
| #3 |
| | APPL/AdInstaller.G Nabend Cosinus,
__________________danke für Deine schnelle Antwort,aber ich HABE keinerlei Fehlermeldungen. Nur den Fund vom Antivir. Den hab ich in google geschmissen, kaum ein Wort verstanden und mich erschreckt!!! Lina |
|
04.05.2010, 09:33
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.G Bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
04.05.2010, 18:38
| #5 |
| | APPL/AdInstaller.G MalwareLog: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4065 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.05.2010 19:36:23 mbam-log-2010-05-04 (19-36-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 160262 Laufzeit: 1 Stunde(n), 2 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\Programme\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken. E:\Programme\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken. Der Otl: OTL logfile created on: 04.05.2010 19:40:13 - Run 1 OTL by OldTimer - Version 3.2.4.1 Folder = E:\Programme Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 503,00 Mb Total Physical Memory | 225,00 Mb Available Physical Memory | 45,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 62,00% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 57,68 Gb Total Space | 22,60 Gb Free Space | 39,17% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 16,85 Gb Total Space | 12,89 Gb Free Space | 76,54% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SARAHS_MACHINE Current User Name: Sarah Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - E:\Programme\OTL.exe (OldTimer Tools) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - E:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems) PRC - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION) PRC - C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe (TOSHIBA CORPORATION) PRC - C:\Programme\Alice\Signup\AliceCnn.exe (Hansenet) PRC - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) PRC - C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard) ========== Modules (SafeList) ========== MOD - E:\Programme\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (AgereModemAudio) -- C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems) SRV - (CFSvcs) -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION) SRV - (IAANTMON) Intel(R) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) ========== Driver Services (SafeList) ========== DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis) DRV - (SPLITCAM) -- C:\WINDOWS\system32\drivers\splitcam.sys (LoteSoft Co.) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (Netdevio) -- C:\WINDOWS\system32\drivers\Netdevio.sys (TOSHIBA Corporation.) DRV - (RTL8187B) -- C:\WINDOWS\system32\drivers\RTL8187B.sys (Realtek Semiconductor Corporation ) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ATKACPI.sys () DRV - (iaStor) -- C:\WINDOWS\system32\drivers\iaStor.sys (Intel Corporation) DRV - (PDNMp50) -- C:\WINDOWS\system32\drivers\PDNMp50.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (PDNSp50) -- C:\WINDOWS\system32\drivers\PDNSp50.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (V0220Dev) -- C:\WINDOWS\system32\drivers\V0220Dev.sys (Creative Technology Ltd.) DRV - (V0220Vfx) -- C:\WINDOWS\system32\drivers\V0220Vfx.sys (EyePower Games Pte. Ltd.) DRV - (siusbmod) -- C:\WINDOWS\system32\drivers\siusbmod.sys (Siemens AG ) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ IE - HKCU\..\URLSearchHook: {F4F10C1D-87C7-404A-B4B3-000000000000} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaulturl: "http://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.kino.to" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {888d99e7-e8b5-46a3-851e-1ec45da1e644}:3.6.2 FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=" FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.12\extensions\\Components: C:\Programme\Mozilla Firefox\components FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2008.12.17 17:01:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: E:\Programme\Mozilla Firefox\components [2010.04.19 20:42:25 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: E:\Programme\Mozilla Firefox\plugins [2010.04.01 07:02:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Components: C:\Programme\Mozilla Thunderbird\components FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2008.12.17 17:01:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: E:\Programme\Mozilla Thunderbird\components [2010.03.19 18:42:17 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: E:\Programme\Mozilla Thunderbird\plugins [2008.12.17 17:01:08 | 000,000,000 | ---D | M] [2008.12.13 10:14:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Extensions [2010.05.04 18:18:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\owwpogaq.default\extensions [2009.12.18 01:51:31 | 000,000,000 | ---D | M] (ReloadEvery) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\owwpogaq.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644} [2008.03.02 23:23:26 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions O1 HOSTS File: ([2001.08.18 16:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll () O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NDSTray.exe] File not found O4 - HKLM..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe () O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = C:\Programme\HP\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EditLevel = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileMenu = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0 O8 - Extra context menu item: &Download by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: &Grab video by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Do&wnload selected by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O8 - Extra context menu item: Down&load all by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_13.dll (Sun Microsystems, Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab (UnoCtrl Class) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204221640026 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2008.02.28 10:12:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{9b95269c-58e8-11de-91d8-0016441f1076}\Shell\AutoRun\command - "" = F:\umenu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.05.04 17:36:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Malwarebytes [2010.05.04 17:35:32 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.05.04 17:35:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.05.04 17:35:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.05.04 17:35:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.05.02 19:33:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sarah\Recent [2010.05.02 19:28:35 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.05.02 12:35:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\kyan schildkröte Januar 2010 [2010.05.02 12:32:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\102DSCIM [2010.05.02 12:12:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\dvdcss [2010.05.01 14:14:39 | 000,000,000 | ---D | C] -- C:\marvie [2010.04.29 23:40:54 | 000,000,000 | ---D | C] -- C:\Programme\Lame for Audacity [2010.04.29 23:21:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Audacity [2010.04.29 23:21:10 | 000,000,000 | ---D | C] -- C:\Programme\Audacity 1.3 Beta (Unicode) [2010.04.29 22:54:40 | 000,000,000 | ---D | C] -- C:\Programme\mp3DirectCut [2010.04.29 22:49:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Help [2010.04.29 22:49:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Help [2010.04.29 22:46:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\WINDOWS [2010.04.29 22:31:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\FFOutput [2010.04.29 22:30:54 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory [2010.04.29 22:21:06 | 000,000,000 | ---D | C] -- C:\Programme\MIKSOFT [2010.04.29 16:03:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\Peter und der Wolf eigener Text [2010.04.21 17:14:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\Benjamin [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.05.04 17:26:50 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.04 17:26:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.04 13:06:16 | 006,029,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sarah\NTUSER.DAT [2010.05.02 15:27:03 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Sarah\ntuser.ini [2010.05.02 12:36:52 | 000,129,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.30 20:09:44 | 000,000,523 | ---- | M] () -- C:\hpfr3420.xml [2010.04.29 23:21:26 | 000,000,715 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Audacity 1.3 Beta (Unicode).lnk [2010.04.29 23:16:28 | 000,121,777 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\avatar-1129.gif [2010.04.29 22:31:27 | 000,000,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Format Factory.lnk [2010.04.29 15:48:47 | 000,017,736 | ---- | M] () -- C:\Barbourshop - You have a Message.aac [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.20 11:20:37 | 000,004,959 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Dok1.doc [2010.04.19 18:32:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.11 20:55:41 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.30 20:09:44 | 000,000,523 | ---- | C] () -- C:\hpfr3420.xml [2010.04.29 23:21:26 | 000,000,715 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Audacity 1.3 Beta (Unicode).lnk [2010.04.29 23:16:27 | 000,121,777 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\avatar-1129.gif [2010.04.29 22:31:27 | 000,000,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Format Factory.lnk [2009.09.30 19:02:52 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\PaintX.dll [2009.09.30 19:02:51 | 001,060,864 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll [2009.09.30 19:02:51 | 000,909,312 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll [2009.09.30 19:02:51 | 000,544,256 | ---- | C] () -- C:\WINDOWS\System32\janGraphics.dll [2009.09.30 19:02:51 | 000,182,784 | ---- | C] () -- C:\WINDOWS\System32\DGVorbis.dll [2009.09.30 19:02:51 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2009.09.30 19:02:51 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\MP3DEE.DLL [2009.09.30 19:02:51 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll [2009.09.30 19:02:50 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\kwab.dll [2009.03.04 23:18:02 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.02.12 21:12:02 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2008.12.17 17:02:35 | 000,003,005 | ---- | C] () -- C:\WINDOWS\Wickie.ini [2008.06.22 11:13:17 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008.06.11 02:07:20 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.06.11 02:03:26 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest [2008.06.11 02:03:26 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest [2008.05.23 00:18:54 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2008.03.24 19:04:09 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.03.02 13:47:35 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2008.03.02 13:47:33 | 000,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2008.03.02 13:47:33 | 000,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2008.03.02 13:47:32 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.03.02 13:47:32 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2008.03.01 12:23:15 | 000,000,051 | ---- | C] () -- C:\WINDOWS\TSetup.INI [2008.02.28 18:23:28 | 000,000,111 | ---- | C] () -- C:\WINDOWS\telephon.ini [2008.02.28 15:30:11 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini [2008.02.28 15:30:11 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll [2008.02.28 15:30:11 | 000,010,146 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini [2008.02.28 15:30:11 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini [2008.02.28 14:40:32 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.02.28 13:01:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI [2008.02.28 10:35:44 | 000,204,800 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4833.dll [2008.02.28 10:35:43 | 000,910,464 | R--- | C] () -- C:\WINDOWS\System32\igmedkrn.dll [2007.12.11 15:16:05 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\esam.dll [2007.08.28 05:58:00 | 000,005,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\ATKACPI.sys [2005.04.08 09:51:08 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll [2004.08.04 02:57:24 | 000,056,880 | ---- | C] () -- C:\WINDOWS\System32\scvideo.dll [1997.07.31 00:00:00 | 001,690,896 | ---- | C] () -- C:\WINDOWS\System32\MSO97V.DLL [1997.07.31 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL [1997.07.31 00:00:00 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\MSORFS.DLL [1997.07.31 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL ========== Alternate Data Streams ========== @Alternate Data Stream - 72 bytes -> C:\WINDOWS:B5729111C02A0907 @Alternate Data Stream - 234 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 @Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0F8F5844 < End of report > OTL Extras logfile created on: 04.05.2010 19:40:13 - Run 1 OTL by OldTimer - Version 3.2.4.1 Folder = E:\Programme Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 503,00 Mb Total Physical Memory | 225,00 Mb Available Physical Memory | 45,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 62,00% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 57,68 Gb Total Space | 22,60 Gb Free Space | 39,17% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 16,85 Gb Total Space | 12,89 Gb Free Space | 76,54% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SARAHS_MACHINE Current User Name: Sarah Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "E:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "E:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "E:\Programme\Veoh Networks\Veoh\VeohClient.exe" = E:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client -- File not found "E:\Programme\Azureus\Azureus.exe" = E:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- File not found "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" = C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client -- File not found "C:\Programme\Zattoo\zattood.exe" = C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood -- File not found "C:\Programme\Zattoo\Zattoo2.exe" = C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: -- File not found "C:\Programme\SightSpeed\SightSpeed.exe" = C:\Programme\SightSpeed\SightSpeed.exe:*:Enabled:SightSpeed -- (SightSpeed Inc.) "C:\Programme\Zattoo\Zattoo.exe" = C:\Programme\Zattoo\Zattoo.exe:*:Enabled: -- File not found "C:\Programme\ICQ\Icq.exe" = C:\Programme\ICQ\Icq.exe:*:Enabled:ICQ Application -- (ICQ Inc.) "C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found "C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- File not found "C:\Programme\DAP\DAP.exe" = C:\Programme\DAP\DAP.exe:*:Enabled:Download Accelerator Plus (DAP) -- File not found "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\Orbitdownloader\orbitdm.exe" = C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit -- (Orbitdownloader.com) "C:\Programme\Orbitdownloader\orbitnet.exe" = C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit -- (Orbitdownloader.com) "E:\Programme\Mozilla Firefox\firefox.exe" = E:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{01161F64-6897-4885-93A0-A9F7BE9A4253}" = hp psc 1100 series "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{2300EE96-0A41-4FAB-BD03-989EC44577A0}" = Acronis*Disk Director Suite "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup "{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{59F6A514-9813-47A3-948C-8A155460CC2A}" = RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01 "{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6 "{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call "{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent "{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{8DC42D05-680B-41B0-8878-6C14D24602DB}" = QuickTime "{8F7A4D82-B168-4F89-99C2-B9873EC877AF}" = HP Image Zone Express "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch "{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}" = TOSHIBA SD Memory Utilities "{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Advanced Video FX Engine" = Advanced Video FX Engine "Alice" = Alice-Installationsdateien entfernen "Als die Raben noch bunt waren" = Als die Raben noch bunt waren "Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode) "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "Creative Live! Cam Center" = Creative Live! Cam Center "Creative Live! Cam FX Creator" = Creative Live! Cam FX Creator "Creative Live! Cam Manager" = Creative Live! Cam Manager "Creative Photo Calendar" = Creative Photo Calendar "Creative VF0220" = Creative Live! Cam Video IM Driver (1.01.01.00) "DVD Shrink_is1" = DVD Shrink 3.2 "FormatFactory" = FormatFactory 2.30 "GaBi_is1" = GaBi 0.90 "HDMI" = Intel(R) Graphics Media Accelerator Driver "HijackThis" = HijackThis 2.0.2 "HP PSC 1100 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 1100 series "ICQ" = ICQ "ie8" = Windows Internet Explorer 8 "InfraRecorder" = InfraRecorder "IrfanView" = IrfanView (remove only) "KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.0 Full "LAME for Audacity_is1" = LAME v3.98.2 for Audacity "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "McDonald's Dragons " = McDonald's Dragons "McDonald's Fairies " = McDonald's Fairies "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "Orbit_is1" = Orbit Downloader "phonostarRadioPlayer_is1" = phonostar-Player Version 2.01.2 "PPTView97" = Microsoft PowerPoint Viewer 97 "RealPlayer 6.0" = RealPlayer "s25atonce_is1" = s25atonce 3.7.5 "Siemens DCA-140/540 USB Treiber_is1" = Siemens DCA-140/540 USB Treiber 1.0.7 "SightSpeed" = SightSpeed (remove only) "SUPER ©" = SUPER © Version 2009.bld.35 (Jan 5, 2009) "SysInfo" = Creative-Systeminformationen "TOSHIBA Software Modem" = TOSHIBA Software Modem "Virtualdub 1.4.9" = Virtualdub 1.4.9 "WAV to MP3" = WAV to MP3 "Winamp" = Winamp "Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner "Windows Media Format Runtime" = Windows Media Format Runtime "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials "WinRAR archiver" = WinRAR ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "OpenOffice.org 1.1.5" = OpenOffice.org 1.1.5 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 29.04.2010 14:19:34 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 29.04.2010 14:20:39 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1001 Description = Fehlerhafter Speicherbereich 743056216. Error - 30.04.2010 16:01:42 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 02.05.2010 01:26:58 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 02.05.2010 01:48:11 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 02.05.2010 02:30:19 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 02.05.2010 09:32:33 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 03.05.2010 06:52:17 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 03.05.2010 12:12:16 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. Error - 04.05.2010 11:35:27 | Computer Name = SARAHS_MACHINE | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpoevm08.exe, Version 4.2.0.20, fehlgeschlagenes Modul ole32.dll, Version 5.1.2600.5512, Fehleradresse 0x0002cdbd. [ System Events ] Error - 27.04.2010 15:50:48 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 27.04.2010 15:50:48 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 28.04.2010 00:36:31 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 28.04.2010 00:36:31 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 28.04.2010 00:51:31 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 28.04.2010 00:51:31 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 28.04.2010 01:21:32 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 60 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 28.04.2010 01:21:32 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 60 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 28.04.2010 01:35:21 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 28.04.2010 01:35:21 | Computer Name = SARAHS_MACHINE | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. < End of report > Da stand jetzt aber bei File age nur 30 Tage. Is vielleicht ne blöde Frage, aber wenn irgendson Monster schon länger irgendwo drin steckt? Danke Arne! Lina Geändert von Linaaahh (04.05.2010 um 18:48 Uhr) |
|
04.05.2010, 20:56
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.GZitat:
__________________ --> APPL/AdInstaller.G |
|
04.05.2010, 21:17
| #7 |
| | APPL/AdInstaller.G Hier der vom Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 2. Mai 2010 08:30 Es wird nach 2062283 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : SARAHS_MACHINE Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:36:36 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 07:56:04 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:47:59 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:01:30 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:04:32 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 18:04:32 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 18:04:32 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 18:04:33 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 18:04:33 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 18:04:34 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 18:04:34 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 18:04:34 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 18:04:34 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 17:53:31 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 19:27:17 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 19:27:33 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 19:28:07 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 19:27:49 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 19:28:00 VBASE020.VDF : 7.10.7.3 2048 Bytes 30.04.2010 19:28:00 VBASE021.VDF : 7.10.7.4 2048 Bytes 30.04.2010 19:28:00 VBASE022.VDF : 7.10.7.5 2048 Bytes 30.04.2010 19:28:00 VBASE023.VDF : 7.10.7.6 2048 Bytes 30.04.2010 19:28:00 VBASE024.VDF : 7.10.7.7 2048 Bytes 30.04.2010 19:28:00 VBASE025.VDF : 7.10.7.8 2048 Bytes 30.04.2010 19:28:01 VBASE026.VDF : 7.10.7.9 2048 Bytes 30.04.2010 19:28:01 VBASE027.VDF : 7.10.7.10 2048 Bytes 30.04.2010 19:28:01 VBASE028.VDF : 7.10.7.11 2048 Bytes 30.04.2010 19:28:01 VBASE029.VDF : 7.10.7.12 2048 Bytes 30.04.2010 19:28:01 VBASE030.VDF : 7.10.7.13 2048 Bytes 30.04.2010 19:28:01 VBASE031.VDF : 7.10.7.16 43520 Bytes 30.04.2010 19:28:01 Engineversion : 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 19:27:38 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 19:27:38 AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 18:52:21 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 19:27:39 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 18:15:17 AEPACK.DLL : 8.2.1.1 426358 Bytes 23.03.2010 16:56:59 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18.03.2010 16:37:05 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 18:05:25 AEHELP.DLL : 8.1.11.3 242039 Bytes 02.04.2010 15:19:10 AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 18:04:49 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 19:27:35 AECORE.DLL : 8.1.13.1 188790 Bytes 02.04.2010 15:19:08 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 19:27:34 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 15:36:03 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+JOKE, Beginn des Suchlaufs: Sonntag, 2. Mai 2010 08:30 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '44484' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '41' Prozesse mit '41' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\System Volume Information\_restore{ED0C0634-9193-4BD7-927A-97D853CFCC35}\RP579\A0074892.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.G Beginne mit der Suche in 'E:\' <Daten> Beginne mit der Desinfektion: C:\System Volume Information\_restore{ED0C0634-9193-4BD7-927A-97D853CFCC35}\RP579\A0074892.exe [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Sonntag, 2. Mai 2010 15:25 Benötigte Zeit: 33:07 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7059 Verzeichnisse wurden überprüft 248925 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 248923 Dateien ohne Befall 2966 Archive wurden durchsucht 2 Warnungen 1 Hinweise 44484 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Der MalwareDings hat aber "  gesagt. Is der Keylogger der appl/adinstaller, oder hab ich da ein weiters Prob? (Und wo hab ich mir den Mist geholt!??? *arrgh*) |
|
04.05.2010, 21:39
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.G Das sieht eher unauffällig bzw. nach einem Fehlalarm aus. Der einzige Fund von AntiVir ist im Ordner für die Systemwiederherstellung, möglicherweise hattest Du mal was aus früherer Zeit was aber schon gelöscht wurde und nun nur noch in einem alten Wiederherstellungspunkt schlummert - wenn es kein Fehlalarm ist. Die von Malwarebytes sehen jedenfalls nach Fehlalarmen aus.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.05.2010, 22:17
| #9 |
| | APPL/AdInstaller.G Huhu Arne die Dinger vom Malware einfach entfernen und gut? Und das Ding vom Avira? Kann ich das irgendwie löschen? Ist das der Quarantäne-Ordner? (Avira sagt mir dass der Fund verschoben worden sei dahin) Lina *sorry wenn ich nerve* |
|
05.05.2010, 07:38
| #10 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.GZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.05.2010, 14:28
| #11 |
| | APPL/AdInstaller.G Das Ding vom Avira heißt jetzt " TR/Trash.Gen " (Wieso heißt das jetzt anders?) Und war in E:\System Volume Information\_restore{ED0C0634-9193-4BD7-927A-97D853CFCC35}\RP581\A0075237.exe Ich hab eben nachgesehn wie ich die Systemwiederherstellung deaktiviere, mach ich dann jetzt mal, zu was führt das?  Lina |
|
09.05.2010, 14:33
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.GZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.05.2010, 19:35
| #13 |
| | APPL/AdInstaller.G Nein, der Avira findet nichts mehr. Cool. Kann ich die Systwiederherstellung wieder aktiviern jetzt? Nochmal irgendwas andres drüberjagen? |
|
09.05.2010, 19:41
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | APPL/AdInstaller.G Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.05.2010, 20:38
| #15 |
| | APPL/AdInstaller.G Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4084 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 09.05.2010 21:35:50 mbam-log-2010-05-09 (21-35-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 159460 Laufzeit: 42 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Rest kommt gleich |
|
| Themen zu APPL/AdInstaller.G |
| .com, adobe, agere systems, antivir, antivir guard, avira, bho, cdburnerxp, desktop, disk director, downloader, excel, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, mozilla, mozilla thunderbird, pdf, plug-in, programme, rootkit, software, system, windows, windows xp |
Linear-Darstellung
