| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bei Internetverbindung lastet svchost.exe den CPU 100 % ausWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.06.2010, 16:26
| #1 |
 |  Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Hallo zusammen, habe folgendes Problem.Mein PC läuft extrem langsam.Im Taskmanager wird angezeigt das die svchost.exe 100% ausgelastet ist .(Nur bei Internetver- bindung)Habe die Automatischen Updates ausgeschaltet aber ohne Erfolg. Vor kurzem hatte ich einen Virus befall. TR/Agent.GX.348 in der Datei C:\windows\temp\d1.exe .Ich denke es hängt damit zusammen. Bin für jede Hilfe dankbar. Hier der HJ Report: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:39:56, on 14.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe D:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\OO Software\Defrag\oodag.exe C:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir Desktop\avgnt.exe D:\Programme\OO Software\Defrag\oodtray.exe C:\Programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\WINDOWS\vsnpstd.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\mmrtkrnl.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\WINDOWS\System32\alg.exe D:\Programme\Skype\Plugin Manager\skypePM.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [OODefragTray] D:\Programme\OO Software\Defrag\oodtray.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [PDUiP6700DMon] C:\Programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: sisytj32.exe O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Ereignisprotokoll EventlogW32Time (EventlogW32Time) - Unknown owner - C:\WINDOWS\system32\6to4svcr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - D:\Programme\OO Software\Defrag\oodag.exe O23 - Service: RoxMediaDB12 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxMediaDB12.exe O23 - Service: Roxio Hard Drive Watcher 12 (RoxWatch12) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatch12.exe O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing) O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe |
|
14.06.2010, 16:31
| #2 |
| /// Malware-holic   | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus ist dein true image nur zur zierde oder machst du damit aktuelle images? wenn ja, setze doch einfach zurück, endere dann alle passwörter.
__________________ |
|
14.06.2010, 16:57
| #3 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Danke für die schnelle Antwort.
__________________Habe die True Image Testversion runtergeladen.Ist jetzt aber abgelaufen, habe sie noch nicht deinstalliert. |
|
14.06.2010, 17:05
| #4 |
| /// Malware-holic | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus ok, man sollte über den erwerb eines image programms nachdenken, ist sehr nützlich, du hättest jetzt innerhalb weniger minuten ein sauberes image zurückspielen können. bis zum ende der reinigung deinstaliere spybot, das kann die ergebnisse verfälschen. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "run Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt eventuell musst du sie aufteilen. |
|
14.06.2010, 19:39
| #5 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Hier die zwei Reporte: Nr.1 - OTL OTL Logfile: Code:
ATTFilter OTL logfile created on: 14.06.2010 18:46:23 - Run 1 OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\Claudio\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 27,95 Gb Total Space | 17,38 Gb Free Space | 62,18% Space Free | Partition Type: NTFS Drive D: | 46,57 Gb Total Space | 43,19 Gb Free Space | 92,75% Space Free | Partition Type: NTFS Drive E: | 204,95 Gb Total Space | 145,88 Gb Free Space | 71,18% Space Free | Partition Type: NTFS Drive F: | 465,78 Gb Total Space | 406,67 Gb Free Space | 87,31% Space Free | Partition Type: NTFS Drive G: | 465,73 Gb Total Space | 398,87 Gb Free Space | 85,64% Space Free | Partition Type: NTFS H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: CLAUDIO2010-BD1 Current User Name: Claudio Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Claudio\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software) PRC - D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) PRC - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis) PRC - D:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe (Skype Technologies S.A.) PRC - C:\WINDOWS\system32\mmrtkrnl.exe (AlcaTech) PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) PRC - D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis) PRC - D:\Programme\OO Software\Defrag\oodag.exe (O&O Software GmbH) PRC - D:\Programme\OO Software\Defrag\oodtray.exe (O&O Software GmbH) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe (CANON INC.) PRC - C:\WINDOWS\vsnpstd.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Claudio\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (stllssvr) -- File not found SRV - (TuneUp.Defrag) -- D:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software) SRV - (TuneUp.UtilitiesSvc) -- D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) SRV - (afcdpsrv) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis) SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) SRV - (O&O Defrag) -- D:\Programme\OO Software\Defrag\oodag.exe (O&O Software GmbH) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (RoxWatch12) -- C:\Programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatch12.exe (Sonic Solutions) SRV - (RoxMediaDB12) -- C:\Programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxMediaDB12.exe (Sonic Solutions) SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (EventlogW32Time) -- C:\WINDOWS\System32\6to4svcr.exe () SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (AF15BDA) -- C:\WINDOWS\system32\drivers\AF15BDA.sys (AfaTech ) DRV - (afcdp) -- C:\WINDOWS\system32\drivers\afcdp.sys (Acronis) DRV - (tdrpman251) Acronis Try&Decide and Restore Points filter (build 251) -- C:\WINDOWS\system32\DRIVERS\tdrpm251.sys (Acronis) DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis) DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (TuneUpUtilitiesDrv) -- D:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.) DRV - (SiSGbeXP) -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys (Silicon Integrated Systems Corp.) DRV - (SiSRaid2) -- C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp) DRV - (ATHFMWDL) -- C:\WINDOWS\system32\drivers\athwpn.sys (Windows (R) 2000 DDK provider) DRV - (snpstd) -- C:\WINDOWS\system32\drivers\snpstd.sys () DRV - (MMRTKRNL) -- C:\WINDOWS\system32\drivers\mmrtkrnl.sys (ALCATech GmbH) DRV - (MarxDev3) -- C:\WINDOWS\system32\drivers\MARXDEV3.SYS () DRV - (MarxDev2) -- C:\WINDOWS\system32\drivers\MARXDEV2.SYS () DRV - (MarxDev1) -- C:\WINDOWS\system32\drivers\MARXDEV1.SYS () DRV - (Aspi32) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 IE - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultthis.engineName: "Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de/" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.05.16 19:42:27 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.04.17 10:16:45 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2010.04.03 19:39:17 | 000,000,000 | ---D | M] [2010.01.17 17:55:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Extensions [2010.01.17 17:55:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.06.12 20:10:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions [2010.05.27 23:53:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.01.17 16:34:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.05.27 23:53:25 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2010.05.28 21:16:36 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\searchplugins\conduit.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (EWPBrowseObject Class) - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll () O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll () O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [OODefragTray] D:\Programme\OO Software\Defrag\oodtray.exe (O&O Software GmbH) O4 - HKLM..\Run: [PDUiP6700DMon] C:\Programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe (CANON INC.) O4 - HKLM..\Run: [Realtime Audio Engine] C:\WINDOWS\System32\mmrtkrnl.exe (AlcaTech) O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.) O4 - HKLM..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe () O4 - HKLM..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis) O4 - Startup: C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1292428093-1035525444-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UIHost - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - Unable to read "AutoRun" value or value not present! O32 - AutoRun File - [2010.01.17 08:33:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - C:\WINDOWS\system32\ias [2010.01.17 09:17:14 | 000,000,000 | ---D | M] NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) NetSvcs: WmdmPmSp - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) CREATERESTOREPOINT Restore point Set: OTL Restore Point (56027131116781568) ========== Files/Folders - Created Within 30 Days ========== [2010.06.14 16:03:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\PriceGong [2010.06.14 10:55:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Claudio\Recent [2010.06.14 10:37:36 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Claudio\Desktop\mbam-setup-1.46.exe [2010.06.14 10:37:07 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Claudio\Desktop\OTL.exe [2010.06.11 17:00:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun [2010.06.11 11:48:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2010.06.10 13:18:29 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.06.10 08:39:17 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [2010.06.09 22:56:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB [2010.06.04 22:16:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Desktop\The Rolling Stones - Let It Bleed (Japan) [2010.06.02 22:23:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Downloads [2010.05.27 23:53:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB [2010.05.27 23:53:27 | 000,000,000 | ---D | C] -- C:\Programme\Conduit [2010.05.27 23:53:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\Conduit [2010.05.27 23:53:26 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoftTB [2010.05.27 23:53:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.05.27 23:53:16 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft [2010.05.23 11:48:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\WinRAR [2010.05.22 00:57:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2010.05.18 09:07:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\PDF [2004.05.17 05:56:58 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnpstd.dll [2004.05.17 05:30:41 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd.dll [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.06.14 18:37:14 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.06.14 18:36:34 | 000,050,257 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.06.14 18:36:23 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.06.14 18:36:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.06.14 18:35:57 | 000,352,570 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor [2010.06.14 18:34:43 | 006,553,600 | -H-- | M] () -- C:\Dokumente und Einstellungen\Claudio\NTUSER.DAT [2010.06.14 18:34:43 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Claudio\ntuser.ini [2010.06.14 16:15:17 | 000,000,235 | --S- | M] () -- C:\WINDOWS\System32\2919554217.dat [2010.06.14 10:50:12 | 000,000,634 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\CCleaner.lnk [2010.06.14 10:39:10 | 000,000,788 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\HijackThis.lnk [2010.06.13 23:58:54 | 003,707,422 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\ComboFix.exe [2010.06.13 23:56:11 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Claudio\Desktop\mbam-setup-1.46.exe [2010.06.13 23:53:31 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Claudio\Desktop\OTL.exe [2010.06.12 08:27:55 | 000,002,161 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.06.11 17:18:01 | 006,019,876 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\BMW e36schalt.pdf [2010.06.11 17:00:36 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat [2010.06.10 16:23:35 | 000,234,368 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.06.10 13:12:43 | 001,024,368 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.10 13:12:43 | 000,458,732 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.06.10 13:12:43 | 000,440,820 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.06.10 13:12:43 | 000,084,698 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.06.10 13:12:43 | 000,071,138 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.06.09 22:56:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.06.08 23:00:04 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini [2010.06.06 12:24:13 | 000,624,766 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\Cover Inlay.bmp [2010.06.06 12:23:37 | 000,624,766 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Cover Inlay.bmp [2010.06.06 11:17:29 | 082,103,632 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\rx_image32.Cache [2010.06.06 11:17:29 | 004,216,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\rx_audio.Cache [2010.06.05 18:12:20 | 000,013,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Grundsicherung Antrag 05.06.2010.odt [2010.06.04 23:45:46 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.06.04 22:30:41 | 000,000,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\UnderCoverXP.lnk [2010.06.04 09:17:33 | 000,014,154 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Brief HUK.odt [2010.06.02 16:31:08 | 000,115,224 | ---- | M] () -- C:\img1-001.raw [2010.05.29 07:40:46 | 007,768,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\I Will Survive.mp3 [2010.05.27 23:59:13 | 009,965,696 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\Turin Brakes - Sea Change [HD].mp3 [2010.05.27 23:53:23 | 000,000,914 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\DVDVideoSoft Free Studio.lnk [2010.05.23 17:00:27 | 000,000,529 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\WinRAR.lnk [2010.05.23 16:36:51 | 000,000,161 | -H-- | M] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\.~lock.Wilhelmine Flecke Einladung Text.odt# [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.06.14 11:59:02 | 000,127,352 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.06.14 10:50:12 | 000,000,634 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\CCleaner.lnk [2010.06.14 10:39:10 | 000,000,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\HijackThis.lnk [2010.06.14 10:36:24 | 003,707,422 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\ComboFix.exe [2010.06.11 17:18:01 | 006,019,876 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\BMW e36schalt.pdf [2010.06.11 17:00:41 | 000,000,235 | --S- | C] () -- C:\WINDOWS\System32\2919554217.dat [2010.06.11 17:00:36 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat [2010.06.06 12:24:13 | 000,624,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\Cover Inlay.bmp [2010.06.06 12:23:37 | 000,624,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Cover Inlay.bmp [2010.06.05 18:12:19 | 000,013,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Grundsicherung Antrag 05.06.2010.odt [2010.06.04 22:30:41 | 000,000,544 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\UnderCoverXP.lnk [2010.06.03 23:31:31 | 000,014,154 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\Brief HUK.odt [2010.06.02 16:31:08 | 000,115,224 | ---- | C] () -- C:\img1-001.raw [2010.05.29 07:40:35 | 007,768,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\I Will Survive.mp3 [2010.05.27 23:58:52 | 009,965,696 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\Turin Brakes - Sea Change [HD].mp3 [2010.05.27 23:53:20 | 000,000,914 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\DVDVideoSoft Free Studio.lnk [2010.05.23 17:00:27 | 000,000,529 | ---- | C] () -- C:\Dokumente und Einstellungen\Claudio\Desktop\WinRAR.lnk [2010.05.23 16:36:51 | 000,000,161 | -H-- | C] () -- C:\Dokumente und Einstellungen\Claudio\Eigene Dateien\.~lock.Wilhelmine Flecke Einladung Text.odt# [2010.02.23 19:12:31 | 000,025,601 | ---- | C] () -- C:\WINDOWS\CSTBox.INI [2010.02.21 11:58:17 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV3.SYS [2010.02.21 11:58:17 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV2.SYS [2010.02.21 11:58:17 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV1.SYS [2010.02.21 11:58:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2010.01.21 09:45:28 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2010.01.19 09:15:30 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2010.01.18 18:50:55 | 000,000,498 | ---- | C] () -- C:\WINDOWS\wininit.ini [2010.01.17 21:01:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI [2010.01.17 11:03:32 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2010.01.17 10:53:30 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\property.dll [2010.01.17 10:46:39 | 000,002,910 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2010.01.17 10:46:38 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2006.08.15 20:47:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2006.07.07 20:41:01 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2006.07.07 20:40:42 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2006.03.09 16:29:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2006.03.09 16:29:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2006.03.09 16:29:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2006.03.09 16:29:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2006.03.09 16:29:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2006.03.09 16:29:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.03.09 16:29:00 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2004.05.17 05:30:42 | 000,015,541 | ---- | C] () -- C:\WINDOWS\snpstd.ini [2004.05.17 05:30:41 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\dsnpstd.dll [2004.05.17 05:30:40 | 000,302,592 | ---- | C] () -- C:\WINDOWS\System32\drivers\snpstd.sys ========== LOP Check ========== [2010.01.19 20:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2010.03.30 09:09:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlcaTech [2010.01.17 21:01:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2010.01.18 09:08:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc [2010.04.03 15:24:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.01.17 15:48:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2010.01.18 09:11:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Uninstall [2010.01.24 20:24:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2010.01.17 15:42:22 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.01.19 20:19:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Acronis [2010.03.30 09:10:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\AlcaTech [2010.01.25 21:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Amazon [2010.06.11 12:00:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Canon [2010.01.25 07:07:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\CD-LabelPrint [2010.05.27 23:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.02.16 11:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\FUJIFILM [2010.02.23 19:13:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\OpenOffice.org [2010.06.14 16:03:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\PriceGong [2010.04.04 10:13:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Serif [2010.01.17 22:02:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Thunderbird [2010.01.17 15:48:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\TuneUp Software [2010.02.16 18:20:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\XnView [2010.01.19 11:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2010.01.19 20:19:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Acronis [2010.02.19 12:36:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Adobe [2010.03.30 09:10:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\AlcaTech [2010.01.25 21:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Amazon [2010.01.24 20:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Apple Computer [2010.01.21 09:57:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\ArcSoft [2010.06.11 12:00:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Canon [2010.01.25 07:07:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\CD-LabelPrint [2010.05.27 23:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.02.16 11:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\FUJIFILM [2010.01.17 08:37:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Identities [2010.01.19 09:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Macromedia [2010.01.18 13:57:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Macrovision [2010.03.29 20:48:51 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Microsoft [2010.01.17 15:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Mozilla [2010.02.23 19:13:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\OpenOffice.org [2010.06.14 16:03:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\PriceGong [2010.04.30 20:15:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Roxio [2010.01.18 08:46:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Roxio Log Files [2010.04.04 10:13:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Serif [2010.06.14 19:20:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Skype [2010.06.14 16:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\skypePM [2010.01.24 07:54:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Sun [2010.01.17 22:02:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Thunderbird [2010.01.17 15:48:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\TuneUp Software [2010.05.23 11:48:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\WinRAR [2010.02.16 18:20:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\XnView < %APPDATA%\*.exe /s > [2010.01.18 19:14:31 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Microsoft\Installer\{AF9E97C1-7431-426D-A8D5-ABE40995C0B1}\ARPPRODUCTICON.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2010.01.22 19:16:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2010.01.22 19:16:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2010.01.22 19:16:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2010.01.22 19:16:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.01.17 09:21:13 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2010.01.17 09:21:13 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2010.01.17 09:21:13 | 000,450,560 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] ========== Alternate Data Streams ========== @Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:19A9DB10 < End of report > |
|
14.06.2010, 19:42
| #6 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Nr.2 - Extras OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 14.06.2010 18:46:23 - Run 1
OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\Claudio\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 17,38 Gb Free Space | 62,18% Space Free | Partition Type: NTFS
Drive D: | 46,57 Gb Total Space | 43,19 Gb Free Space | 92,75% Space Free | Partition Type: NTFS
Drive E: | 204,95 Gb Total Space | 145,88 Gb Free Space | 71,18% Space Free | Partition Type: NTFS
Drive F: | 465,78 Gb Total Space | 406,67 Gb Free Space | 87,31% Space Free | Partition Type: NTFS
Drive G: | 465,73 Gb Total Space | 398,87 Gb Free Space | 85,64% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: CLAUDIO2010-BD1
Current User Name: Claudio
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.js [@ = JSFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
[HKEY_USERS\S-1-5-21-1292428093-1035525444-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
jsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
jsefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
vbefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
vbsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
wsffile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [FinePix] -- "D:\Programme\FinePixViewer\FinePixViewer.exe" "%1" (FUJI PHOTO FILM CO.,LTD.)
Directory [FinePixPrint] -- "D:\Programme\FinePixViewer\FinePixViewer.exe" /p "%1" (FUJI PHOTO FILM CO.,LTD.)
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\MSI\ArcSoft\TotalMedia\TotalMedia.exe" = D:\Programme\MSI\ArcSoft\TotalMedia\TotalMedia.exe:LocalSubNet:Enabled:ArcSoft TotalMedia 3 -- (ArcSoft, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{026B0D6F-C5E5-4950-AB17-66B2335E6160}" = Roxio WinOnCD 2010
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP6700D" = Canon iP6700D
"{24ED4D80-8294-11D5-96CD-0040266301AD}" = FinePixViewer Ver.4.3
"{25BB07FA-D9A0-478E-8A4B-38466A4E8BF2}" = Serif PagePlus SE 1.0
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{4D0AAB66-E604-4E82-A5AF-01AB97CB506D}" = Roxio Creator 2010 Content
"{5490882C-6961-11D5-BAE5-00E0188E010B}" = FUJIFILM USB Driver
"{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}" = Roxio BackOnTrack
"{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}" = Roxio File Backup
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{733CDF24-0A93-426E-AA89-DF281EB54793}" = Roxio CinePlayer
"{74DC8A26-4E05-40B6-AD11-C9428A1AE150}" = Roxio WinOnCD 2010
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{86DDDAAD-AEB9-42E5-BE01-0E8FABD2BB29}" = Roxio Video Capture USB
"{89A15676-78AE-4D51-BF5B-DEE3E0D46C94}" = Roxio WinOnCD 2010
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A00EC4E-27E1-42C4-98DD-662F32AC8870}" = Roxio CinePlayer Decoder Pack
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F70E36A-8C0F-4069-9C81-9708E46E6F5E}" = O&O PartitionManager Professional
"{A121EEDE-C68F-461D-91AA-D48BA226AF1C}" = Roxio Activation Module
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A33E7B0C-B99C-4EC9-B702-8A328B161AF9}" = Roxio Burn
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AF9E97C1-7431-426D-A8D5-ABE40995C0B1}" = DirectX 9 Runtime
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B607C354-CD79-4D22-86D1-92DC94153F42}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BBBC2B89-E193-4348-A83C-C8DD8210A4AC}" = Canon PhotoRecord
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C2F1F96A-057E-5819-B52E-FEA1D1D2933B}" = Acronis*True*Image*Home
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{D680C913-5955-469D-9D88-C1940F7506D6}" = RAW FILE CONVERTER LE
"{D75814C1-5AA5-4198-BFF6-093A226D9F0D}" = O&O Defrag Professional
"{F0E2B312-D7FD-4349-A9B6-E90B36DB1BD0}" = Paint.NET v3.5.5
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FF68083C-E11E-4A91-B54B-CD72AB5A0CF5}" = ArcSoft TotalMedia 3
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP6700D Benutzerregistrierung" = Canon iP6700D Benutzerregistrierung
"CCleaner" = CCleaner
"CDCoverEasyLayout" = CDCover! - Einfach Drucken
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Easy-WebPrint" = Easy-WebPrint
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.3
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"ImageConverter Plus_is1" = ImageConverter Plus 8.0
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"MCU PDUiP6700DMon.exe" = Canon iP6700D Memory Card Utility
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"NVIDIA Drivers" = NVIDIA Drivers
"Product_Name" = FUN!CAM
"TuneUp Utilities" = TuneUp Utilities
"UnderCoverXP_is1" = UnderCoverXP 1.19
"Uninstall_is1" = Uninstall 1.0.0.1
"Virtual DJ Home Edition - Atomix Productions" = Virtual DJ Home Edition - Atomix Productions
"WIC" = Windows Imaging Component
"Winamp" = Winamp (nur entfernen)
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 19.02.2010 14:17:03 | Computer Name = CLAUDIO2010-BD1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung MusicDiscCreator12.exe, Version 12.2.1.85,
Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.02.2010 13:18:04 | Computer Name = CLAUDIO2010-BD1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.1.9420.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.02.2010 13:22:23 | Computer Name = CLAUDIO2010-BD1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 9.3.0.148, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 01.03.2010 03:13:40 | Computer Name = CLAUDIO2010-BD1 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 02.03.2010 08:30:50 | Computer Name = CLAUDIO2010-BD1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.1.9420.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 02.03.2010 12:52:24 | Computer Name = CLAUDIO2010-BD1 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 02.04.2010 10:45:24 | Computer Name = CLAUDIO2010-BD1 | Source = MsiInstaller | ID = 10005
Description = Product: Skype web features -- A later version of Skype web features
is already installed.
Error - 02.04.2010 13:51:11 | Computer Name = CLAUDIO2010-BD1 | Source = .NET Runtime 2.0 Error Reporting | ID = 5000
Description = EventType clr20r3, P1 roxiocentralfx.exe, P2 5.0.0.0, P3 4a6970c2,
P4 rcburnsupport, P5 5.0.3492.859, P6 4a6970b7, P7 12d, P8 c, P9 system.argumentexception,
P10 NIL.
[ System Events ]
Error - 12.06.2010 16:55:26 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 12.06.2010 17:03:53 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 13.06.2010 03:17:23 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 13.06.2010 17:12:02 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 14.06.2010 04:30:32 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 14.06.2010 05:01:03 | Computer Name = CLAUDIO2010-BD1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ImapiService"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{520CCA63-51A5-11D3-9144-00104BA11C5E}
Error - 14.06.2010 09:55:22 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 14.06.2010 09:55:26 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 14.06.2010 09:59:14 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
Error - 14.06.2010 12:37:05 | Computer Name = CLAUDIO2010-BD1 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Roxio
Hard Drive Watcher 12.
< End of report >
|
|
14.06.2010, 19:53
| #7 |
| /// Malware-holic | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O4 - Startup: C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe () [2010.06.14 16:15:17 | 000,000,235 | --S- | M] () -- C:\WINDOWS\System32\2919554217.dat [2010.06.11 17:00:36 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat :Files C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten |
|
14.06.2010, 21:12
| #8 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Hallo Markus, ich weiß zwar nicht wie Du das gemacht hast,aber es Funktioniert. Die CPU auslastung ist quasi 0%. Vielen,vielen Dank P.S.: Ich würde schon gerne wissen wo genau der Fehler lag ? Hier der Report: All processes killed ========== OTL ========== File move failed. C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\2919554217.dat scheduled to be moved on reboot. C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat moved successfully. ========== FILES ========== File move failed. C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: Claudio ->Flash cache emptied: 1425 bytes User: Default User User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: Claudio ->Temp folder emptied: 645313 bytes ->Temporary Internet Files folder emptied: 1181508 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 38593271 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1024447 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 66019 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 42,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06142010_212819 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe moved successfully. File move failed. C:\WINDOWS\system32\2919554217.dat scheduled to be moved on reboot. Registry entries deleted on Reboot... |
|
14.06.2010, 22:13
| #9 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus P.S.S.: Was ist mit den Passwörtern? Muß ich sie abändern? |
|
15.06.2010, 10:23
| #10 |
| /// Malware-holic | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus an dieser datei: C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe wir müssen aber noch weiter prüfen. passwörter endern wir am ende. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
15.06.2010, 16:40
| #11 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Ich dachte wir wären schon fertig... Hier der Combo Fix log: Combofix Logfile: Code:
ATTFilter ComboFix 10-06-14.03 - Claudio 15.06.2010 17:21:06.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1545 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Claudio\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Dyoxbu
c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Dyoxbu\uxekg.exe
c:\windows\system32\12520850n.exe
c:\windows\system32\2919554217.dat
c:\windows\system32\6to4svcr.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_EVENTLOGW32TIME
-------\Legacy_NAPAGENTCOMSYSAPP
-------\Service_EventlogW32Time
-------\Service_napagentCOMSysApp
((((((((((((((((((((((( Dateien erstellt von 2010-05-15 bis 2010-06-15 ))))))))))))))))))))))))))))))
.
2010-06-14 19:28 . 2010-06-14 19:28 -------- d-----w- C:\_OTL
2010-06-14 14:03 . 2010-06-14 14:03 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\PriceGong
2010-06-14 09:59 . 2010-06-14 09:59 127352 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-06-11 15:00 . 2010-06-11 15:00 -------- d-----w- c:\windows\Sun
2010-06-10 06:39 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-09 20:56 . 2010-06-09 20:56 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-05-27 21:53 . 2010-06-14 14:03 -------- d-----w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-05-27 21:53 . 2010-06-07 22:34 -------- d-----w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\programme\Conduit
2010-05-27 21:53 . 2010-06-07 22:35 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-05-27 21:53 . 2010-05-27 21:53 52224 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-05-27 21:53 . 2010-05-27 21:53 101376 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\programme\DVDVideoSoft
2010-05-21 22:57 . 2010-05-21 22:57 -------- d--h--w- c:\windows\PIF
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-15 15:31 . 2010-01-19 23:32 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Skype
2010-06-15 14:18 . 2010-03-25 10:44 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Soaqe
2010-06-15 14:17 . 2010-01-18 18:08 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\skypePM
2010-06-14 21:34 . 2010-01-17 11:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-14 19:28 . 2004-08-04 12:00 84698 ----a-w- c:\windows\system32\perfc007.dat
2010-06-14 19:28 . 2004-08-04 12:00 458732 ----a-w- c:\windows\system32\perfh007.dat
2010-06-14 09:00 . 2010-01-18 07:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sonic
2010-06-11 15:00 . 2010-06-11 15:00 4 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\dhxiuw.dat
2010-06-11 10:00 . 2010-02-19 09:45 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Canon
2010-06-05 15:30 . 2010-02-23 17:15 1 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-04 21:45 . 2010-02-07 14:03 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-27 21:53 . 2010-04-01 19:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-05-10 18:26 . 2010-01-24 18:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-05-06 10:31 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2004-08-04 12:00 1851392 ------w- c:\windows\system32\win32k.sys
2010-04-30 18:15 . 2010-01-18 07:19 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Roxio
2010-04-25 14:53 . 2010-04-25 14:53 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-04-20 05:29 . 2004-08-04 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-12 13:28 . 2010-01-17 10:24 63576 ----a-w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-10 22:08 . 2010-03-30 07:09 126464 ----a-w- c:\windows\system32\Setup.dll
2010-04-01 13:17 . 2010-01-17 13:49 30536 ----a-w- c:\windows\system32\TURegOpt.exe
2010-04-01 13:11 . 2010-01-17 13:49 30024 ----a-w- c:\windows\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-06-07 22:35 2393184 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="d:\programme\Skype\Phone\Skype.exe" [2010-03-09 26100520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"OODefragTray"="d:\programme\OO Software\Defrag\oodtray.exe" [2009-09-11 2524416]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"PDUiP6700DMon"="c:\programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe" [2006-10-03 75376]
"TrueImageMonitor.exe"="d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5082488]
"snpstd"="c:\windows\vsnpstd.exe" [2004-05-06 40960]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-24 149280]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Realtime Audio Engine"="mmrtkrnl.exe" [2009-11-23 70144]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Claudio\Startmen\Programme\Autostart\
ntuser_mssec.exe [2008-4-14 59392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"SpybotSD TeaTimer"=d:\programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"WinampAgent"="d:\programme\Winamp\Winampa.exe"
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatchTray12.exe"
"Desktop Disc Tool"="d:\programme\Roxio 2010\Roxio Burn\RoxioBurnLauncher.exe"
"CPMonitor"="d:\programme\Roxio 2010\5.0\CPMonitor.exe"
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [19.01.2010 20:13 902432]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [19.01.2010 20:13 2326920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [17.01.2010 12:59 108289]
R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [21.02.2010 11:58 8864]
R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [21.02.2010 11:58 8864]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [21.02.2010 11:58 8864]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [01.04.2010 15:14 1050440]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [19.01.2010 20:13 159168]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 08:24 10064]
S2 RoxWatch12;Roxio Hard Drive Watcher 12;c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatch12.exe [24.07.2009 09:33 219632]
S3 ATHFMWDL;NETGEAR WPN111 Bootloader driver;c:\windows\system32\drivers\athwpn.sys [09.03.2010 18:14 43392]
S3 RoxMediaDB12;RoxMediaDB12;c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxMediaDB12.exe [24.07.2009 09:33 1116656]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-06-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - component: d:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: d:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-{E8BAD120-C785-82F7-806B-1B345FEC6A77} - c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Dyoxbu\uxekg.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-15 17:30
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\dokumente und einstellungen\Claudio\Startmenü\Programme\Autostart\ntuser_mssec.exe 59392 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3648)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
d:\programme\OO Software\Defrag\oodag.exe
c:\windows\system32\mmrtkrnl.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
d:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
d:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-15 17:33:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-15 15:33
Vor Suchlauf: 6 Verzeichnis(se), 18.474.315.776 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 18.394.161.152 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 207CB6C65527F4DC52854A387AF0A7E9
|
|
15.06.2010, 18:03
| #12 |
| /// Malware-holic | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus falsch gedacht :-) bis wir fertig sind, deinstaliere spybot, das kann sonst probleme geben, neustart. Start, programme, zubehör, editor, kopiere rein: File:: c:\windows\system32\config\systemprofile\Anwendungsdaten\dhxiuw.dat Folder:: c:\dokumente und einstellungen\Claudio\Anwendungsdaten\PriceGong Datei speichern unter, typ alle, name cfscript.txt speicherort, dort wo sich combofix.exe befindet. ziehe ccfscript auf combofix, programm startet, log posten. |
|
15.06.2010, 19:41
| #13 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Hier der Logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-06-14.03 - Claudio 15.06.2010 20:25:50.4.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1224 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Claudio\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Claudio\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\windows\system32\config\systemprofile\Anwendungsdaten\dhxiuw.dat"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\config\systemprofile\Anwendungsdaten\dhxiuw.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-05-15 bis 2010-06-15 ))))))))))))))))))))))))))))))
.
2010-06-15 17:17 . 2010-06-15 17:31 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Sonic
2010-06-14 19:28 . 2010-06-14 19:28 -------- d-----w- C:\_OTL
2010-06-14 09:59 . 2010-06-14 09:59 127352 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-06-11 15:00 . 2010-06-11 15:00 -------- d-----w- c:\windows\Sun
2010-06-10 06:39 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-09 20:56 . 2010-06-09 20:56 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-05-27 21:53 . 2010-06-14 14:03 -------- d-----w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-05-27 21:53 . 2010-06-07 22:34 -------- d-----w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\programme\Conduit
2010-05-27 21:53 . 2010-06-07 22:35 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-05-27 21:53 . 2010-05-27 21:53 52224 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-05-27 21:53 . 2010-05-27 21:53 101376 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-05-27 21:53 . 2010-05-27 21:53 -------- d-----w- c:\programme\DVDVideoSoft
2010-05-21 22:57 . 2010-05-21 22:57 -------- d--h--w- c:\windows\PIF
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-15 18:14 . 2010-01-19 23:32 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Skype
2010-06-15 17:46 . 2010-01-17 11:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-15 17:15 . 2010-01-18 07:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sonic
2010-06-15 14:18 . 2010-03-25 10:44 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Soaqe
2010-06-15 14:17 . 2010-01-18 18:08 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\skypePM
2010-06-14 19:28 . 2004-08-04 12:00 84698 ----a-w- c:\windows\system32\perfc007.dat
2010-06-14 19:28 . 2004-08-04 12:00 458732 ----a-w- c:\windows\system32\perfh007.dat
2010-06-11 10:00 . 2010-02-19 09:45 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Canon
2010-06-05 15:30 . 2010-02-23 17:15 1 ----a-w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-04 21:45 . 2010-02-07 14:03 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-27 21:53 . 2010-04-01 19:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-05-10 18:26 . 2010-01-24 18:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-05-06 10:31 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2004-08-04 12:00 1851392 ------w- c:\windows\system32\win32k.sys
2010-04-30 18:15 . 2010-01-18 07:19 -------- d-----w- c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Roxio
2010-04-25 14:53 . 2010-04-25 14:53 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-04-20 05:29 . 2004-08-04 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-12 13:28 . 2010-01-17 10:24 63576 ----a-w- c:\dokumente und einstellungen\Claudio\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-10 22:08 . 2010-03-30 07:09 126464 ----a-w- c:\windows\system32\Setup.dll
2010-04-01 13:17 . 2010-01-17 13:49 30536 ----a-w- c:\windows\system32\TURegOpt.exe
2010-04-01 13:11 . 2010-01-17 13:49 30024 ----a-w- c:\windows\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-06-07 22:35 2393184 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-06-07 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="d:\programme\Skype\Phone\Skype.exe" [2010-03-09 26100520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"OODefragTray"="d:\programme\OO Software\Defrag\oodtray.exe" [2009-09-11 2524416]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"PDUiP6700DMon"="c:\programme\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe" [2006-10-03 75376]
"TrueImageMonitor.exe"="d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5082488]
"snpstd"="c:\windows\vsnpstd.exe" [2004-05-06 40960]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-24 149280]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Realtime Audio Engine"="mmrtkrnl.exe" [2009-11-23 70144]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Claudio\Startmen\Programme\Autostart\
ntuser_mssec.exe [2008-4-14 59392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"WinampAgent"="d:\programme\Winamp\Winampa.exe"
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatchTray12.exe"
"Desktop Disc Tool"="d:\programme\Roxio 2010\Roxio Burn\RoxioBurnLauncher.exe"
"CPMonitor"="d:\programme\Roxio 2010\5.0\CPMonitor.exe"
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [19.01.2010 20:13 902432]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [19.01.2010 20:13 2326920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [17.01.2010 12:59 108289]
R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [21.02.2010 11:58 8864]
R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [21.02.2010 11:58 8864]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [21.02.2010 11:58 8864]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [01.04.2010 15:14 1050440]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [19.01.2010 20:13 159168]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 08:24 10064]
S2 RoxWatch12;Roxio Hard Drive Watcher 12;c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxWatch12.exe [24.07.2009 09:33 219632]
S3 ATHFMWDL;NETGEAR WPN111 Bootloader driver;c:\windows\system32\drivers\athwpn.sys [09.03.2010 18:14 43392]
S3 RoxMediaDB12;RoxMediaDB12;c:\programme\Gemeinsame Dateien\Roxio Shared\12.0\SharedCOM\RoxMediaDB12.exe [24.07.2009 09:33 1116656]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-06-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Claudio\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Claudio\Anwendungsdaten\Mozilla\Firefox\Profiles\ro88gf4v.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - component: d:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: d:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-15 20:27
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
Zeit der Fertigstellung: 2010-06-15 20:28:46
ComboFix-quarantined-files.txt 2010-06-15 18:28
ComboFix2.txt 2010-06-15 18:09
ComboFix3.txt 2010-06-15 15:33
Vor Suchlauf: 8 Verzeichnis(se), 18.396.590.080 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 18.386.292.736 Bytes frei
- - End Of File - - 475BC28271CF6368177B985D1FF75BA5
|
|
15.06.2010, 19:48
| #14 |
| /// Malware-holic | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus rechtsklick avira schirm, guard deaktivieren. öffne arbeitsplatz, c: dort suche qoobox, rechtsklick und zu qoobox.rar oder zip hinzufügen, die an uns hochladen wie unter punkt2. http://www.trojaner-board.de/54791-a...ner-board.html gib bescheid wenn fertig. download malwarebytes: Malwarebytes instaliren, öffnen, registerkarte aktualisierung, programm updaten. dann scanner, komplett scan, funde löschen, log posten. den guard nun wieder einschalten. |
|
15.06.2010, 21:58
| #15 |
| | Bei Internetverbindung lastet svchost.exe den CPU 100 % aus Habe die Datei hochgeladen. Hier der Malwarebytes Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4201 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.06.2010 22:39:47 mbam-log-2010-06-15 (22-39-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 186968 Laufzeit: 19 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully. |
|
| Themen zu Bei Internetverbindung lastet svchost.exe den CPU 100 % aus |
| .com, antivir, antivir guard, ausgelastet, avira, bho, bonjour, canon, converter, cpu, cpu 100, desktop, hijack, hijackthis, hkus\s-1-5-18, hängt, internet explorer, mp3, pc läuft, plug-in, rundll, software, svchost.exe, system, taskmanager, updates, virus, windows, windows xp |
Linear-Darstellung
