| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.07.2010, 21:43
| #1 |
| |  Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe Hallo Zusammen, nun sitz ich auch das erste mal vor so einer Trojaner Meldung. Ich hoffe mir kann jemand helfen. Folgendes: antivir meldet mir in c:\Dokumente und Einstellungen\**\Anwendungsdaten\Ohulyp\ydun.exe trojanisches pferd TR/Agent/HM.35. ich habe mit "verweigern" und "löschen" reagiert. Die Meldung kam regelmäßig wieder. Ich habe nun die Befürchtung, das er sich trotz dieser Meldung eingenistet hat und Schaden anrichtet, gerade bei Bankdaten. hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:28:15, on 08.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Program Files\SMSC\SetIcon.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\VMware\VMware Player\hqtray.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Logitech\QuickCam\Quickcam.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.178.1;fritz.box;*.local R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\SetIcon.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [{34257DB2-F275-5E4A-D127-5829E2B87176}] "C:\Dokumente und Einstellungen\**\Anwendungsdaten\Ohulyp\ydun.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ? (User 'Default user') O4 - Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0 \Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009 \meinsparbuchheute.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935- AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935 -AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E- 00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110- 11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {3FD261A4-796F-4A71-91C1-705EFF6B8B29} - hxxp://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - https://photoservice.fujicolor.de/ips-opdata/objects/jordan.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab? 1134842576125 O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1 \Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32 \vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10 \Common\x10nets.exe -- End of file - 12263 bytes Danach habe ich cccleaner und malware gem. der Anweisungen hier durchgeführt. Es wurden 3 infizierte Objekte gefunden. Habe ich entfernt und dann das logfile auch kopiert und hier mal angehängt. Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4293
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08.07.2010 21:16:13
mbam-log-2010-07-08 (21-16-13).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133962
Laufzeit: 8 Minute(n), 18 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{34257db2-f275-5e4a-d127-5829e2b87176} (Rootkit.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Ohulyp\ydun.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
Ich hoffe jemand kann mir helfen. Inken Achso, Bei zwei OnlineBanking Seiten kam die Meldung : Sicherheitseinstellungen ihres Browsers werden geprüft. Das dauerte ewig und danach wurden die Seiten nicht richtig dargestellt. Vielleicht nur Zufall oder kann es damit auch zusammenhängen? |
|
09.07.2010, 11:58
| #2 |
| /// Malware-holic   | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hallo.
__________________wenn du online banking betreibst, rufe sofort!! deine bank an, damit die zugangsdaten geendert werden können. außerdem würde ich persönlich in einem solchen falle den pc neu aufsetzen, somit hast du wieder 100 % sicherheit. wir können den pc zwar bereinigen, aber es bleibt ein restrisiko und ich weis nicht ob du das eingehen möchtest. wenn ja: download malwarebytes: Malwarebytes instalieren, registerkarte aktualisierung, programm updaten. schalte nun alle programme, auch antivirus ab, trenne die internetverbindung, in dem du wlan ausschaltest, bzw das netzwerkkabel ziehst. registerkarte scanner in malwarebytes, komplett scan. arbeite nicht am pc. lösche die funde, internet und antivirus ein, log posten. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide |
|
09.07.2010, 15:16
| #3 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe Hallo,
__________________vielen vielen dank erstmal. alles onlinebanking gesperrt. ich mach den rechner wohl komplett platt, besorge mir aber erst eine externe festplatte. zu sicherheit bis dahin hab ich die anweisungen wie beschrieben ausgeführt und hier mal geschickt: malware Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4295
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
09.07.2010 15:06:35
mbam-log-2010-07-09 (15-06-35).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 233536
Laufzeit: 42 Minute(n), 41 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{CBA1663A-8561-4A62-B286-03DCDBC4F0C7}\RP938\A0138351.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter OTL logfile created on: 09.07.2010 15:25:05 - Run 1 OTL by OldTimer - Version 3.2.8.1 Folder = C:\Dokumente und Einstellungen\**\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 446,00 Mb Total Physical Memory | 85,00 Mb Available Physical Memory | 19,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 54,00% Paging File free Paging file location(s): C:\pagefile.sys 672 1344 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,54 Gb Total Space | 35,48 Gb Free Space | 47,60% Space Free | Partition Type: NTFS Drive D: | 66,62 Gb Total Space | 63,97 Gb Free Space | 96,02% Space Free | Partition Type: NTFS Drive E: | 7,87 Gb Total Space | 3,64 Gb Free Space | 46,18% Space Free | Partition Type: FAT32 F: Drive not present or media not loaded G: Drive not present or media not loaded Drive H: | 241,50 Mb Total Space | 140,45 Mb Free Space | 58,16% Space Free | Partition Type: FAT I: Drive not present or media not loaded Computer Name: NAME-A1C360E486 Current User Name: ** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\**\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe (Skype Technologies S.A.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.) PRC - C:\Programme\Logitech\QuickCam\Quickcam.exe () PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe () PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe (Logitech Inc.) PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.) PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE (klickTel AG) PRC - C:\WINDOWS\system32\vmnat.exe (VMware, Inc.) PRC - C:\WINDOWS\system32\vmnetdhcp.exe (VMware, Inc.) PRC - C:\Programme\VMware\VMware Player\hqtray.exe (VMware, Inc.) PRC - C:\Programme\VMware\VMware Player\vmware-authd.exe (VMware, Inc.) PRC - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe (VMware, Inc.) PRC - C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe () PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe () PRC - C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.) PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink) PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) PRC - C:\WINDOWS\system32\VTTrayp.exe (S3 Graphics Co., Ltd.) PRC - C:\WINDOWS\system32\VTTimer.exe (S3 Graphics, Inc.) PRC - C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe (America Online, Inc) PRC - C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe (America Online, Inc.) PRC - C:\program files\SMSC\SetIcon.exe (Standard Microsystems Corp.) PRC - C:\Programme\Common Files\X10\Common\X10nets.exe (X10) PRC - C:\Programme\Microsoft Office\Office\OUTLOOK.EXE (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\**\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll (Logitech Inc.) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (LVPrcSrv) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.) SRV - (LVCOMSer) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.) SRV - (VMware NAT Service) -- C:\WINDOWS\system32\vmnat.exe (VMware, Inc.) SRV - (VMnetDHCP) -- C:\WINDOWS\system32\vmnetdhcp.exe (VMware, Inc.) SRV - (VMAuthdService) -- C:\Programme\VMware\VMware Player\vmware-authd.exe (VMware, Inc.) SRV - (vmount2) -- C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe (VMware, Inc.) SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.) SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe () SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe () SRV - (CyberLink Media Library Service) -- C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (AOL ACS) -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe (America Online, Inc.) SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10) ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (FilterService) -- C:\WINDOWS\system32\drivers\lvuvcflt.sys (Logitech Inc.) DRV - (LVUVC) Logitech QuickCam E3500(UVC) -- C:\WINDOWS\system32\drivers\lvuvc.sys (Logitech Inc.) DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.) DRV - (LVRS) -- C:\WINDOWS\system32\drivers\lvrs.sys (Logitech Inc.) DRV - (LVPr2Mon) -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys () DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation) DRV - (vmx86) -- C:\WINDOWS\system32\drivers\vmx86.sys (VMware, Inc.) DRV - (hcmon) -- C:\WINDOWS\system32\drivers\hcmon.sys (VMware, Inc.) DRV - (VMnetuserif) -- C:\WINDOWS\system32\drivers\vmnetuserif.sys (VMware, Inc.) DRV - (vmkbd2) -- C:\WINDOWS\system32\drivers\VMkbd.sys (VMware, Inc.) DRV - (VMparport) -- C:\WINDOWS\system32\drivers\vmparport.sys (VMware, Inc.) DRV - (VMnetBridge) -- C:\WINDOWS\system32\drivers\vmnetbridge.sys (VMware, Inc.) DRV - (VMnetAdapter) -- C:\WINDOWS\system32\drivers\vmnetadapter.sys (VMware, Inc.) DRV - (vstor2) -- C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys (VMware, Inc.) DRV - (Nokia USB Phone Parent) -- C:\WINDOWS\system32\drivers\nmwcd.sys (Nokia) DRV - (Nokia USB Modem) -- C:\WINDOWS\system32\drivers\nmwcdcm.sys (Nokia) DRV - (Nokia USB Generic) -- C:\WINDOWS\system32\drivers\nmwcdc.sys (Nokia) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (3xHybrid) -- C:\WINDOWS\system32\drivers\3xHybrid.sys (Philips Semiconductors GmbH) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.) DRV - (XUIF) -- C:\WINDOWS\system32\drivers\x10ufx2.sys (X10 Wireless Technology, Inc.) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\system32\drivers\wanatw4.sys (America Online, Inc.) DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/ IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-103503246-3037937193-992847211-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 192.168.178.1;fritz.box;*.local O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc) O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O3 - HKU\S-1-5-21-103503246-3037937193-992847211-1006\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [ALDI_SUED_FotoSuite_Download] C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe (MAGIX AG) O4 - HKLM..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe (America Online, Inc) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [LogitechCommunicationsManager] C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe () O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\QuickCam\Quickcam.exe () O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PCMService] C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [SetIcon] \Program Files\SMSC\SetIcon.exe () O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [VMware hqtray] C:\Programme\VMware\VMware Player\hqtray.exe (VMware, Inc.) O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.) O4 - HKLM..\Run: [VTTrayp] C:\WINDOWS\System32\VTTrayp.exe (S3 Graphics Co., Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe () O4 - Startup: C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = C:\Programme\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE (klickTel AG) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.) O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O15 - HKU\S-1-5-21-103503246-3037937193-992847211-1006\..Trusted Domains: fritz.box ([]* in Local intranet) O15 - HKU\S-1-5-21-103503246-3037937193-992847211-1006\..Trusted Ranges: Range1 ([*] in Local intranet) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} https://photoservice.fujicolor.de/ips-opdata/objects/jordan.cab (JordanUploader Class) O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} https://stream.web.de/mail/activex/mail_upload_11213.cab (Attachment Upload Control) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134842576125 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab (IPSUploader4 Control) O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Grusel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Grusel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2005.12.17 19:42:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{5c4fa604-8bbb-11de-a264-005056c00008}\Shell - "" = AutoRun O33 - MountPoints2\{5c4fa604-8bbb-11de-a264-005056c00008}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{5c4fa604-8bbb-11de-a264-005056c00008}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found O33 - MountPoints2\{d77a7c38-78bc-11db-9ecf-00038a000015}\Shell - "" = AutoRun O33 - MountPoints2\{d77a7c38-78bc-11db-9ecf-00038a000015}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{d77a7c38-78bc-11db-9ecf-00038a000015}\Shell\AutoRun\command - "" = J:\pushinst.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: Wmi - C:\WINDOWS\System32\wmi.dll (Microsoft Corporation) NetSvcs: WmdmPmSp - File not found SafeBootMin: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {166B1BCA-3F9C-11CF-8075-444553540000} - Macromedia Shockwave Director 10.1 ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Macromedia Shockwave Director 10.1 ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - Windows Messenger 5.1 ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.Install.PerUser ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - Fax Provider ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE ActiveX: Microsoft Base Smart Card Crypto Provider Package - Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.l3codecp - File not found Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corp.) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivXNetworks, Inc.) Drivers32: VIDC.I420 - C:\WINDOWS\System32\lvcodec2.dll (Logitech Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: VIDC.MP42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: VIDC.MPG4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation) Drivers32: VIDC.VMnc - C:\WINDOWS\System32\vmnc.dll (VMware, Inc.) Drivers32: wave3 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (29849958282690560) ========== Files/Folders - Created Within 30 Days ========== [2010.07.09 15:23:14 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\**\Desktop\OTL.exe [2010.07.08 21:02:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes [2010.07.08 21:00:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Malwarebytes [2010.07.08 20:59:57 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.08 20:59:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.08 20:59:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.08 20:59:54 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.08 20:50:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\**\Recent [2010.07.08 20:26:48 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.07.08 20:12:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.07.08 20:08:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Yahoo! [2010.07.08 15:06:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.07.05 21:19:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2010.07.02 15:18:42 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2010.07.02 15:18:17 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2010.07.02 15:11:23 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [2010.06.15 12:53:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.06.15 12:48:57 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime [2010.06.11 14:48:55 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.09 15:23:14 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\**\Desktop\OTL.exe [2010.07.09 15:12:05 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.09 15:10:52 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.09 15:10:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.09 15:10:44 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad [2010.07.09 15:09:45 | 005,242,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\Grusel\NTUSER.DAT [2010.07.09 15:09:45 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Grusel\ntuser.ini [2010.07.09 06:46:17 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs [2010.07.08 21:00:00 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.08 20:26:48 | 000,001,588 | ---- | M] () -- C:\HijackThis.lnk [2010.07.06 13:15:53 | 000,002,373 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Desktop\ACDSee.lnk [2010.07.06 09:07:05 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.07.05 21:19:22 | 000,000,839 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CEWE FOTOSCHAU.lnk [2010.07.05 21:19:22 | 000,000,824 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Müller Foto.lnk [2010.07.05 17:05:13 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\NamensänderungI.doc [2010.07.02 15:19:35 | 000,001,804 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.07.01 21:37:35 | 000,171,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\Überweisung EmptyBox.doc [2010.06.28 21:39:09 | 000,000,202 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.06.24 14:38:32 | 000,463,018 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.06.24 14:38:32 | 000,445,150 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.06.24 14:38:32 | 000,072,942 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.06.24 14:38:31 | 001,036,920 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.24 14:38:31 | 000,086,408 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.06.15 22:31:01 | 000,020,992 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\Namensänderung.doc [2010.06.12 10:31:36 | 000,196,960 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.06.11 21:58:43 | 000,002,373 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ACDSee.lnk [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.08 21:00:00 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.08 20:26:48 | 000,001,588 | ---- | C] () -- C:\HijackThis.lnk [2010.07.05 21:19:22 | 000,000,839 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CEWE FOTOSCHAU.lnk [2010.07.02 15:19:35 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.07.02 14:28:02 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\NamensänderungI.doc [2010.07.01 21:37:35 | 000,171,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\Überweisung EmptyBox.doc [2010.06.15 21:24:42 | 000,020,992 | ---- | C] () -- C:\Dokumente und Einstellungen\Grusel\Eigene Dateien\Namensänderung.doc [2009.06.03 11:54:18 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2009.01.07 13:02:05 | 000,000,388 | ---- | C] () -- C:\WINDOWS\ktel.ini [2009.01.05 14:49:03 | 000,066,482 | R--- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2008.10.10 14:58:05 | 000,150,240 | ---- | C] () -- C:\WINDOWS\System32\drivers\MLTCAP.sys [2008.07.26 09:25:02 | 000,025,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys [2007.03.24 20:26:15 | 000,000,253 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.01.07 16:26:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nokiacontentcopier.INI [2006.12.09 14:46:30 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI [2006.06.04 16:21:19 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2005.12.31 16:00:36 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2005.12.30 20:41:56 | 000,038,912 | ---- | C] () -- C:\WINDOWS\System32\mgxasio.dll [2005.12.30 20:27:16 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll [2005.12.30 20:26:50 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2005.12.30 20:26:50 | 000,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini [2005.12.30 19:22:57 | 000,198,144 | ---- | C] () -- C:\WINDOWS\System32\_psisdecd.dll [2005.12.30 19:06:15 | 000,000,652 | ---- | C] () -- C:\WINDOWS\WISO.INI [2005.12.30 10:42:11 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2005.12.18 14:59:30 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2005.12.18 14:59:30 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\400C4A95DD.sys [2005.12.18 03:29:53 | 000,002,716 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.12.17 21:08:25 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2005.12.17 21:07:56 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll [2005.12.17 20:07:43 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2005.12.17 19:58:10 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2005.12.17 19:56:07 | 000,000,863 | ---- | C] () -- C:\WINDOWS\orun32.ini [2005.07.01 14:15:20 | 000,001,022 | ---- | C] () -- C:\WINDOWS\System32\Generic.ini [2005.07.01 11:38:06 | 000,000,232 | ---- | C] () -- C:\WINDOWS\SwapDrvrSP3.ini [2005.07.01 11:37:46 | 000,000,233 | ---- | C] () -- C:\WINDOWS\SwapDrvrSP2.ini [2004.09.28 23:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2002.03.21 12:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll [2002.03.21 12:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll [2002.03.21 12:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll [2002.03.21 12:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll [2002.03.21 12:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll [2002.03.21 12:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll [2002.03.21 12:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll [2002.03.20 21:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys [2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll [2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll [2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll [2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll ========== LOP Check ========== [2006.06.04 16:29:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2009.06.03 11:54:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALDI Sued Foto Service [2009.06.03 11:54:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aldi Sued Fotoservice [2008.04.04 12:27:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2005.12.30 19:06:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications [2007.12.04 23:35:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2010.07.06 13:14:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2005.12.29 09:55:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint [2005.12.17 21:52:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings [2010.06.15 12:55:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2009.09.11 19:41:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2009.06.09 11:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [2006.06.04 16:44:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\ACD Systems [2009.10.04 09:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Buhl Data Service [2008.04.01 13:29:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\DataDesign [2007.12.04 23:35:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Datalayer [2009.01.07 17:52:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Digitaler Routenplaner [2009.01.11 13:39:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\DIMAGE [2006.06.04 16:25:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\InterTrust [2008.01.08 12:46:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks [2009.01.07 13:08:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\klickTel [2009.01.05 14:47:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Leadertech [2006.06.05 16:48:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\MAGIX [2007.01.16 01:13:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Nokia [2010.07.08 21:03:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Ohulyp [2007.01.16 01:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\PC Suite [2010.05.13 20:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\SmartSurfer [2008.10.02 18:27:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\WEBDE [2010.07.08 16:44:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Weot [2005.12.17 21:57:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2006.06.04 16:44:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\ACD Systems [2008.06.20 12:40:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Adobe [2008.05.16 16:01:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\AdobeUM [2005.12.29 09:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\AOL [2010.07.04 09:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Apple Computer [2009.10.04 09:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Buhl Data Service [2005.12.30 19:34:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\CyberLink [2008.04.01 13:29:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\DataDesign [2007.12.04 23:35:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Datalayer [2009.01.07 17:52:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Digitaler Routenplaner [2009.01.11 13:39:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\DIMAGE [2006.11.05 10:24:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Google [2005.12.30 10:26:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Help [2005.12.17 19:42:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Identities [2008.05.30 10:59:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\InstallShield [2006.06.04 16:25:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\InterTrust [2008.01.08 12:46:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks [2009.01.07 13:08:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\klickTel [2009.01.05 14:47:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Leadertech [2005.12.18 15:44:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Macromedia [2006.06.05 16:48:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\MAGIX [2010.07.08 21:02:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Malwarebytes [2010.01.21 20:48:09 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Microsoft [2006.06.04 16:19:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Microsoft Web Folders [2007.01.16 01:13:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Nokia [2010.07.08 21:03:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Ohulyp [2007.01.16 01:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\PC Suite [2005.12.17 20:41:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Real [2010.07.09 15:28:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Skype [2010.07.09 15:13:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\skypePM [2010.05.13 20:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\SmartSurfer [2005.12.18 15:08:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Sun [2010.06.25 14:41:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\VMware [2008.10.02 18:27:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\WEBDE [2010.07.08 16:44:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Weot [2009.09.02 13:15:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Yahoo! [2005.12.29 09:55:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\You've Got Pictures Screensaver < %APPDATA%\*.exe /s > [2007.04.01 21:45:53 | 023,813,608 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr709_de_DE.exe [2008.05.16 16:01:17 | 022,319,360 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr710_de_DE.exe [2007.06.09 04:33:25 | 000,214,640 | ---- | M] (Juniper Networks) -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\Host Checker\dsHostChecker.exe [2007.06.09 04:33:17 | 000,348,230 | ---- | M] (Juniper Networks) -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\Host Checker\dsHostCheckerProxy.exe [2007.08.20 21:16:47 | 000,038,962 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\Host Checker\uninstall.exe [2007.06.09 04:09:43 | 000,028,672 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\setup\dsmmf.exe [2007.06.09 04:10:29 | 000,024,646 | R--- | M] () -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\setup\JuniperSetupApp.exe [2007.08.20 21:16:42 | 000,033,220 | ---- | M] () -- C:\Dokumente und Einstellungen\Grusel\Anwendungsdaten\Juniper Networks\setup\uninstall.exe < %SYSTEMDRIVE%\*.exe > [2001.05.24 13:59:30 | 000,162,304 | ---- | M] () -- C:\UNWISE.EXE < MD5 for: AGP440.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2009.01.06 18:12:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp2.cab:AGP440.sys [2009.01.06 18:12:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2009.01.06 18:12:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp2.cab:atapi.sys [2009.01.06 18:12:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: VIAMRAID.SYS > [2005.06.20 18:53:30 | 000,060,928 | ---- | M] (VIA Technologies inc,.ltd) MD5=0363E216E4EB5052969C96608934DBDE -- C:\WINDOWS\system32\drivers\viamraid.sys < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2005.12.17 20:34:39 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2005.12.17 20:34:39 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2005.12.17 20:34:39 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [2009.03.08 04:31:44 | 000,348,160 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dxtmsft.dll [2009.03.08 04:31:38 | 000,216,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dxtrans.dll [3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > Code:
ATTFilter OTL Extras logfile created on: 09.07.2010 15:25:05 - Run 1
OTL by OldTimer - Version 3.2.8.1 Folder = C:\Dokumente und Einstellungen\Grusel\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
446,00 Mb Total Physical Memory | 85,00 Mb Available Physical Memory | 19,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 54,00% Paging File free
Paging file location(s): C:\pagefile.sys 672 1344 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,54 Gb Total Space | 35,48 Gb Free Space | 47,60% Space Free | Partition Type: NTFS
Drive D: | 66,62 Gb Total Space | 63,97 Gb Free Space | 96,02% Space Free | Partition Type: NTFS
Drive E: | 7,87 Gb Total Space | 3,64 Gb Free Space | 46,18% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 241,50 Mb Total Space | 140,45 Mb Free Space | 58,16% Space Free | Partition Type: FAT
I: Drive not present or media not loaded
Computer Name: NAME-A1C360E486
Current User Name: Grusel
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [CEWE FOTOSCHAU] -- "C:\Programme\Müller Foto\Müller Foto\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Müller Foto] -- "C:\Programme\Müller Foto\Müller Foto\Müller Foto.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- (America Online, Inc.)
"C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- (America Online, Inc.)
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- (America Online, Inc.)
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- (America Online, Inc)
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation)
"C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation)
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe" = C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome -- (Ahead Software AG)
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- (America Online, Inc.)
"C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- (America Online, Inc.)
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- (America Online, Inc.)
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- (America Online, Inc)
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation)
"C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation)
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe" = C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome -- (Ahead Software AG)
"C:\Programme\CA\Etrust Antivirus\InocIT.exe" = C:\Programme\CA\Etrust Antivirus\InocIT.exe:*:Disabled:InocIT -- File not found
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}" = MSN Messenger 7.5
"{0FF1922C-B6C4-40BB-AF30-BEF75A482444}" = Nokia Connectivity Cable Driver
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{20FD5B04-CE35-4F5B-A2F3-6D9FD644EB70}" = WISO Mein Geld 2006 Professional
"{247A11CA-F5CE-4DD6-85E2-64850E64E064}" = USB2.0 CARD READER
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3AF8FCCD-F51A-4014-9002-F195E1CBC876}" = Logitech QuickCam
"{3D31F40D-78C1-48C4-B7C6-10844B7A6DF9}" = Telefonauskunft und Rückwärtssuche auf CD-ROM
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{4D719053-5593-11D3-8F25-0060085C1758}" = Microsoft AutoRoute 2001
"{53735ECE-E461-4FD0-B742-23A352436D3A}" = Logitech Updater
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{99E67091-D392-4031-AD2A-E9547F3615F8}" = KONICA_MINOLTA DiMAGE Webcam Treiber
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9D1C26BD-E792-4159-9D16-07EA222D8EF0}" = Windows Messenger 5.1
"{A1973A71-BC23-4A8C-A0A0-2B0497B7EAF4}" = WISO Sparbuch 2008
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A53A11EA-0095-493F-86FA-A15E8A86A405}" = VMware Player
"{AB2347E4-153B-4194-AA3B-97C0A662B369}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{AF5E8D43-49AD-4BE7-A941-2BB0A8CACA62}" = ACDSee 5.0 Standard
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow 3.0
"{DCF4A27F-7CB8-4358-ADD0-9332AD272956}" = Digitaler Routenplaner auf CD-ROM
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{FAF88B432344413595BB2DED98385684}" = DivX User Guide
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"ALDI Foto Manager Nord D" = ALDI Foto Manager Nord (D)
"ALDI Foto Service Nord D" = ALDI Foto Service Nord (D)
"ALDI Online Druck Service (Nord)" = ALDI Online Druck Service (Nord)
"ALDI Süd Foto Service D" = ALDI Süd Foto Service
"Aldi Süd Fotoservice_is1" = Aldi Süd Fotoservice
"America Online de" = AOL Deutschland
"AOL Connectivity Services" = AOL Optimized Dial-In
"AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner
"AOLCoach de" = AOL Coach Version 1.0(Build:20040229.1 de)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Creatix V.92 Data Fax Modem" = Creatix V.92 Data Fax Modem
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"LetsTrade" = LetsTrade Komponenten
"lvdrivers_11.80" = Logitech QuickCam-Treiberpaket
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"MAGIX music maker SE" = MAGIX music maker SE
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MEDION Fotos auf CD Nord D" = MEDION Fotos auf CD Nord (D)
"medionmusic-manager gold" = medionmusic-manager gold
"medionmusic-Suite" = medionmusic-Suite
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Müller Foto" = Müller Foto
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"RealPlayer 6.0" = RealPlayer
"StreetPlugin" = Learn2 Player (Uninstall Only)
"VIA/S3G UniChrome Family Win2K/XP/Server2003 Display" = VIA/S3G Display Driver
"ViewpointMediaPlayer" = Viewpoint Media Player
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"X10Hardware" = X10 Hardware(TM)
"Yahoo! Companion" = Yahoo! Toolbar
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-103503246-3037937193-992847211-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Neoteris_Host_Checker" = Juniper Networks Host Checker
"StarOffice 7" = StarOffice 7
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 09.06.2010 12:14:42 | Computer Name = NAME-A1C360E486 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iTunes.exe, Version 9.0.3.15, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 14.06.2010 09:31:42 | Computer Name = NAME-A1C360E486 | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
kann nicht fortgesetzt werden.
Error - 14.06.2010 09:31:51 | Computer Name = NAME-A1C360E486 | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
kann nicht fortgesetzt werden.
Error - 15.06.2010 14:37:27 | Computer Name = NAME-A1C360E486 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung AOLacsd.exe, Version 2.6.6.3, fehlgeschlagenes
Modul AOLacsd.exe, Version 2.6.6.3, Fehleradresse 0x000310c3.
Error - 02.07.2010 09:08:32 | Computer Name = NAME-A1C360E486 | Source = Bonjour Service | ID = 100
Description = 264: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 02.07.2010 09:08:33 | Computer Name = NAME-A1C360E486 | Source = Bonjour Service | ID = 100
Description = 240: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 02.07.2010 09:08:33 | Computer Name = NAME-A1C360E486 | Source = Bonjour Service | ID = 100
Description = 404: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 02.07.2010 09:08:33 | Computer Name = NAME-A1C360E486 | Source = Bonjour Service | ID = 100
Description = 400: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 02.07.2010 09:08:33 | Computer Name = NAME-A1C360E486 | Source = Bonjour Service | ID = 100
Description = 416: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde
vom Remotehost geschlossen.)
Error - 08.07.2010 08:04:44 | Computer Name = NAME-A1C360E486 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 24.05.2010 15:01:41 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:43 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:46 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:49 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:52 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:55 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 24.05.2010 15:01:58 | Computer Name = NAME-A1C360E486 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 15.06.2010 14:38:53 | Computer Name = NAME-A1C360E486 | Source = Service Control Manager | ID = 7034
Description = Dienst "AOL Connectivity Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 08.07.2010 15:23:30 | Computer Name = NAME-A1C360E486 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde
Error - 09.07.2010 09:11:25 | Computer Name = NAME-A1C360E486 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
PCIIde
< End of report >
gruß inkens |
|
09.07.2010, 16:03
| #4 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
10.07.2010, 12:06
| #5 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hi, hier der log von combofix Code:
ATTFilter ComboFix 10-07-08.02 - Grusel 10.07.2010 12:31:29.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.190 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Grusel\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\TEMP\logishrd\LVPrcInj01.dll
D:\install.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-10 bis 2010-07-10 ))))))))))))))))))))))))))))))
.
2010-07-08 19:02 . 2010-07-08 19:02 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Malwarebytes
2010-07-08 19:00 . 2010-07-08 19:00 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Malwarebytes
2010-07-08 18:59 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-08 18:59 . 2010-07-08 18:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-08 18:59 . 2010-07-09 12:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-08 18:59 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-08 18:50 . 2010-07-08 18:50 -------- d--h--w- c:\dokumente und einstellungen\LocalService\Netzwerkumgebung
2010-07-08 18:49 . 2010-07-08 18:49 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-07-08 18:26 . 2010-07-08 18:26 -------- d-----w- c:\programme\Trend Micro
2010-07-08 18:17 . 2010-07-08 18:48 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-07-08 18:09 . 2010-07-08 18:09 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2010-07-08 18:09 . 2010-07-08 18:09 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IECompatCache
2010-07-08 18:08 . 2010-07-08 18:08 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Yahoo!
2010-07-08 13:06 . 2010-07-08 19:19 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-05 19:19 . 2010-07-06 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmp
2010-07-02 13:18 . 2010-07-02 13:18 -------- d-----w- c:\programme\iPod
2010-07-02 13:18 . 2010-07-02 13:19 -------- d-----w- c:\programme\iTunes
2010-07-02 13:11 . 2010-07-02 13:11 -------- d-----w- c:\programme\Bonjour
2010-07-02 13:06 . 2010-07-02 13:06 72504 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-15 10:53 . 2010-06-15 10:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-15 10:48 . 2010-06-15 10:49 -------- d-----w- c:\programme\QuickTime
2010-06-11 12:48 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-10 10:45 . 2008-07-16 09:37 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Skype
2010-07-10 10:44 . 2008-02-20 16:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2010-07-10 10:41 . 2009-01-05 12:48 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2010-07-10 10:19 . 2008-02-20 16:08 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2010-07-10 10:18 . 2009-01-05 12:49 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-07-10 06:41 . 2008-07-16 09:39 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\skypePM
2010-07-08 19:03 . 2008-05-05 02:26 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Ohulyp
2010-07-08 18:49 . 2008-02-27 14:04 -------- d-----w- c:\programme\CCleaner
2010-07-08 14:44 . 2008-01-23 07:35 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Weot
2010-07-06 11:14 . 2008-12-09 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2010-07-05 19:15 . 2009-03-13 10:19 1430704 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps\3018\setup_Mueller_Fotowelt.exe
2010-07-04 07:19 . 2006-06-04 14:39 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Apple Computer
2010-07-02 13:18 . 2007-09-29 11:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-06-25 12:41 . 2008-02-20 16:25 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\VMware
2010-06-24 12:38 . 2005-12-18 01:29 463018 ----a-w- c:\windows\system32\perfh007.dat
2010-06-24 12:38 . 2005-12-18 01:29 86408 ----a-w- c:\windows\system32\perfc007.dat
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-13 20:46 . 2007-01-07 14:22 -------- d-----w- c:\programme\Nokia
2010-05-13 20:32 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-13 18:00 . 2006-06-05 12:13 -------- d-----w- c:\dokumente und einstellungen\Grusel\Anwendungsdaten\SmartSurfer
2010-05-06 10:31 . 2005-12-18 01:29 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2005-12-18 01:29 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2005-12-18 01:29 285696 ----a-w- c:\windows\system32\atmfd.dll
2009-10-28 08:53 . 2008-01-04 07:37 133 ----a-w- c:\programme\users.dat
2006-06-05 12:12 . 2006-06-05 12:11 2394424 ----a-w- c:\programme\SmartInstall_000000000000070_.exe
2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys
2005-12-18 12:59 . 2005-12-18 12:59 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-04-06 26102056]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 90112]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 88203]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-11-09 497240]
"SetIcon"="\Program Files\SMSC\SetIcon.exe" [2004-04-28 42496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-11-05 139264]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-17 180269]
"VMware hqtray"="c:\programme\VMware\VMware Player\hqtray.exe" [2007-10-08 55856]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ALDI_SUED_FotoSuite_Download"="c:\programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2008-11-13 1257472]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Grusel\Startmen\Programme\Autostart\
Telefonauskunft und Rckw„rtssuche auf CD-ROM - Schnellstarter.lnk - c:\programme\Telefonauskunft und Rckw„rtssuche\Telefonauskunft + Rckw„rtssuche auf CD-ROM\KSTART32.EXE [2009-1-7 459776]
c:\dokumente und einstellungen\Grusel\Startmen\Programme\Autostart\
Telefonauskunft und Rckw„rtssuche auf CD-ROM - Schnellstarter.lnk - c:\programme\Telefonauskunft und Rckw„rtssuche\Telefonauskunft + Rckw„rtssuche auf CD-ROM\KSTART32.EXE [2009-1-7 459776]
c:\dokumente und einstellungen\Grusel\Startmen\Programme\Autostart\
Telefonauskunft und Rckw„rtssuche auf CD-ROM - Schnellstarter.lnk - c:\programme\Telefonauskunft und Rckw„rtssuche\Telefonauskunft + Rckw„rtssuche auf CD-ROM\KSTART32.EXE [2009-1-7 459776]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-1-5 66864]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-1-9 1140008]
c:\dokumente und einstellungen\Grusel\Startmen\Programme\Autostart\
Telefonauskunft und Rckw„rtssuche auf CD-ROM - Schnellstarter.lnk - c:\programme\Telefonauskunft und Rckw„rtssuche\Telefonauskunft + Rckw„rtssuche auf CD-ROM\KSTART32.EXE [2009-1-7 459776]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\AOL 9.0\\AOL.exe"=
"c:\\Programme\\AOL 9.0\\WAOL.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.03.2009 18:32 108289]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [20.11.2006 19:30 264704]
.
Inhalt des "geplante Tasks" Ordners
2010-07-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = 192.168.178.1;fritz.box;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxps://photoservice.fujicolor.de/ips-opdata/objects/jordan.cab
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-10 12:44
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(6948)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\VTTimer.exe
c:\windows\system32\VTtrayp.exe
c:\windows\SOUNDMAN.EXE
c:\windows\AGRSMMSG.exe
c:\program files\SMSC\SetIcon.exe
c:\programme\Skype\Phone\Skype.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE
c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
c:\windows\system32\vmnat.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\vmnetdhcp.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-10 12:50:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-07-10 10:50
Vor Suchlauf: 7 Verzeichnis(se), 37.995.335.680 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 38.014.140.416 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 68521C452546E8AFF93715C46EB6B4A7
Gruß Inken |
|
10.07.2010, 12:39
| #6 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe Start, programme, zubehör, editor, kopiere rein: Folder:: c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Ohulyp c:\dokumente und einstellungen\Grusel\Anwendungsdaten\Weot Datei speichern unter, typ, alle name: cfscript.txt speichere es dort, wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet, log posten. |
|
10.07.2010, 13:07
| #7 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hi, hilfe! ich hab versucht die letzte anweisung durchzuführen, hatte etwas gedauert bis ich es gefunden hatte, wollte die ordner in editor kopieren, und zuerst kam zugriff verweigert und jetzt kann ich den editor nicht mehr öffnen, bekomme die nächste virenwarung trojanisches pferd TR/Trash gen. war nun alles für die katz? soll ich ihn dann lieber gleich neu aufsetzen? ich habe eine externe festplatte auf die ich bilder und paar .doc speichern werde. geht das ohne risiko? oh man. gruß Inken |
|
10.07.2010, 13:12
| #8 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe neu aufsetzen kannst du ihn auch. ja das geht ohne risiko. endere danach alle passwörter und update windows, also sp3 und ie 8 nicht vergessen, meld dich wenn du damit fertig bist. |
|
10.07.2010, 13:22
| #9 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe noch ganz kurz, die trojanermeldung wie eben gesagt kommt nun alle paar sekunden, egal was ich öffnen will, outlook, acdsee usw. es steht noch das: c:/windows\temp\logishrd\lvprcinj01.dll ich gerate grad mal in panik, weil ich glaub als ich in den editor kopieren wollte, den ordner ohulyp angeklickt habe und somit das wohl in gang gesetzt habe? was meinst du, kann ich trotzdem ohne risiko meine dateien noch sichern? vorm platt machen? |
|
10.07.2010, 13:38
| #10 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe ja die dateien kannst du trotzdem sichern. aber ich glaub das ist ein avira problem, du hast da keinen fehler gemacht. nutzt du avira 9 oder 10? |
|
11.07.2010, 12:57
| #11 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hi, ich bins wieder. also mein pc ist neu aufgesetzt. ich habe jetzt antivir wieder drauf (im moment noch die aktuelle freeversion).ich hoffe in der kurzen zeit bis zur installation hat mich niemand wieder verseucht. hab alles gescannt, auch die neue externe festplatte laufwerk H. antivir hat nichts gefunden. es kommt aber von antivir folgende warnmeldung: H:\autorun.inf zu ihrer sicherheit blockiert. ich galube aber das ist ok, das müsste man dann in den einstellungen "vom guard auszulassene prozesse" ändern. aber das hab ich nicht verstanden, also lass ich es. beim anivir scan wurde angezeigt: warnungen 3, im bericht sieht man das es wohl die externe platte ist, da zuwenig speicher. ich hab den bericht gepostet. Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 11. Juli 2010 12:55
Es wird nach 2329261 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Inken
Computername : INKENHOME
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:25:17
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:25:21
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 19:25:21
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 19:25:21
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 19:25:21
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 19:25:21
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 19:25:21
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 19:25:21
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 19:25:22
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 19:25:22
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 19:25:22
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 19:25:23
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 19:25:23
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 19:25:24
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 19:25:24
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 19:25:24
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 19:25:24
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 19:25:25
VBASE023.VDF : 7.10.9.37 2048 Bytes 07.07.2010 19:25:25
VBASE024.VDF : 7.10.9.38 2048 Bytes 07.07.2010 19:25:25
VBASE025.VDF : 7.10.9.39 2048 Bytes 07.07.2010 19:25:25
VBASE026.VDF : 7.10.9.40 2048 Bytes 07.07.2010 19:25:25
VBASE027.VDF : 7.10.9.41 2048 Bytes 07.07.2010 19:25:25
VBASE028.VDF : 7.10.9.42 2048 Bytes 07.07.2010 19:25:25
VBASE029.VDF : 7.10.9.43 2048 Bytes 07.07.2010 19:25:25
VBASE030.VDF : 7.10.9.44 2048 Bytes 07.07.2010 19:25:25
VBASE031.VDF : 7.10.9.56 112640 Bytes 09.07.2010 19:25:26
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 10.07.2010 19:25:32
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 10.07.2010 19:25:32
AESCN.DLL : 8.1.6.1 127347 Bytes 10.07.2010 19:25:31
AESBX.DLL : 8.1.3.1 254324 Bytes 10.07.2010 19:25:32
AERDL.DLL : 8.1.4.6 541043 Bytes 10.07.2010 19:25:31
AEPACK.DLL : 8.2.2.5 430453 Bytes 10.07.2010 19:25:31
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 10.07.2010 19:25:30
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 10.07.2010 19:25:30
AEHELP.DLL : 8.1.11.6 242038 Bytes 10.07.2010 19:25:28
AEGEN.DLL : 8.1.3.13 381300 Bytes 10.07.2010 19:25:28
AEEMU.DLL : 8.1.2.0 393588 Bytes 10.07.2010 19:25:27
AECORE.DLL : 8.1.15.3 192886 Bytes 10.07.2010 19:25:26
AEBB.DLL : 8.1.1.0 53618 Bytes 10.07.2010 19:25:26
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Inken\LOKALE~1\Temp\9ae8c96a.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: H:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Sonntag, 11. Juli 2010 12:55
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'H:\' <FreeAgent GoFlex Drive>
H:\Seagate\SeagateDashboard\Products\Memeo_Instant_Backup_Setup.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
H:\Seagate\SeagateDashboard\Products\Memeo_Premium_Backup_Setup.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
H:\Seagate\SeagateDashboard\Products\Memeo_Sync_Setup.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
Ende des Suchlaufs: Sonntag, 11. Juli 2010 13:21
Benötigte Zeit: 26:50 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
719 Verzeichnisse wurden überprüft
205005 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
205005 Dateien ohne Befall
62 Archive wurden durchsucht
3 Warnungen
0 Hinweise
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4301
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
11.07.2010 13:40:20
mbam-log-2010-07-11 (13-40-20).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 113066
Laufzeit: 4 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
inkens |
|
11.07.2010, 13:17
| #12 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe bitte deaktivire autorun funktion: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de auf diesem wege werden sehr sehr viele trojaner verbreitet. dann öffne avira, konfiguration, guard, autostart, dort die überwachung abstellen. nutze, um aktuell zu bleiben, secunia: http://www.trojaner-board.de/83959-s...ector-psi.html sehe dir unbedingt Sandboxie an. http://www.trojaner-board.de/71542-a...sandboxie.html surfe ab sofort nur noch in der sandbox, das ist viel sicherer. über den kauf einer lizenz bitte nachdenken, lebenslang auf all deinen pcs gültig für nur 25 € und das ist nen sehr guter preis. endere auch alle passwörter. |
|
13.07.2010, 19:10
| #13 |
| | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hallo, also vielen herzlichen dank für die tolle kompetente hilfe. bin jetzt wohl "up to date". zwei fragen hätte ich noch, 1)beim systemscan mit avira zeigt er mir an das es versteckte obkjekte gibt, die datei ist nicht sichtbar: c:\windows\system32\ntmsdata\ntmsjrnl c:\WINDOWS\system32\NtmsData scan oder bei meinem notebook, das ich jetzt auch neu aufgesetzt habe: c:\programme\internet explorer\iexplore.exe sind diese hinweise sicherheitsgefährdend? 2)bei secunia zeigt er mir an das ie 8 nicht ganz sicher ist, aber da kann man wohl im moment nichts machen. Vielen dank und gruß Inken |
|
14.07.2010, 12:46
| #14 |
| /// Malware-holic | Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe hi, versteckt heißt nicht gleich bösartig, ist also in ordnung, schau auf die windows update seite, wenn keine updates da sind, ist alles io mit dem ie. |
|
| Themen zu Trojaner gemeldet von Antivir TR/Agent.HM.35 / einstellungen\**\anwendungsdaten\ohulyp\ydun.exe |
| acroiehelper.dll, adobe, antivir, antivir guard, antivir meldet, avira, bho, bonjour, desktop, ebanking, einstellungen, erste mal, explorer, hkus\s-1-5-18, home, hängen, infizierte, internet, internet explorer, logfile, malware, malwarebytes' anti-malware, monitor, software, sparbuch, stick, system, trojaner, windows, windows xp, wiso |
Linear-Darstellung
