| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Programme wollen auf unsichere Internetseite zugreifenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.07.2010, 20:56
| #1 |
| |  Programme wollen auf unsichere Internetseite zugreifen Hallo erstmal! Ich habe heute mein "Fritz!DSL Protect" neu installiert, also ein Programm zugehörig zur Fritz Box, welches Programme den Zugriff auf das Internet gestattet oder ablehnt. Ganz praktisch, zeigt einem also immer vorher an ob ein Progrmam auf das Internet zugreifen soll oder nicht. Durch die Neuinstallation des Programmes waren die Zugriffseinstellungen natürlich weg und direkt beim Nestart kam mir diese Meldung entgegen: Generic Host Process for Win 32 Services Dieses Programm versucht eine Verbindung in das Internet herzustellen Zieladresse: "Rozpierdole.com" Diese Meldung kommt beim Start jedes Programmes auf, was irgendwas mit dem Internet zu tun hat, also auch bei Firefox und co., immer versuchen die Programme auf "Rozpierdole.com" zuzugreifen. Hab natürlich immer auf "Zugriff ablehnen" geklickt und bin jetzt an meinem Zweit-PC da ich auf dem anderen natürlich nicht mehr ins Internet gehen kann. Hab auch gegooglet was es mit dieser ominösen Seite auf sich hat, scheint irgendeine polnische Seite zu sein, also bitte nicht draufgehen. Kann mir irgendjemand helfen, damit ich das Problem wieder in Ordnung bekomme? Danke schonmal im Vorraus |
|
23.07.2010, 21:02
| #2 |
  | Programme wollen auf unsichere Internetseite zugreifen Hi,
__________________prüfe mal ob Du das File "sknc.dll" auf Deinem Rechner hast... Sehr neu... Pfad: "C:\Windows\System32" Wenn ja, dann bitte bei Virustotal.com prüfen lassen und log posten... Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Windows\System32\sknc.dll
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris
__________________ |
|
23.07.2010, 21:08
| #3 |
| | Programme wollen auf unsichere Internetseite zugreifen Hey,
__________________Sknc.dll befindet sich in meinem System32 Ordner. 10 kb groß und nach Dateiinformationen wurde die Datei Gestern Erstellt und Heute war der letzte Zugriff !... Hab den VirusTotal Scan durchgeführt, die anderen Scans kommen gleich. VirusTotal Logfile : Datei sknc.dll empfangen 2010.07.23 20:12:11 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 17/41 (41.47%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2010.07.23.01 2010.07.23 - AntiVir 8.2.4.26 2010.07.23 TR/Gendal.10240.X Antiy-AVL 2.0.3.7 2010.07.23 - Authentium 5.2.0.5 2010.07.23 - Avast 4.8.1351.0 2010.07.23 - Avast5 5.0.332.0 2010.07.23 - AVG 9.0.0.851 2010.07.23 PSW.Generic8.TR BitDefender 7.2 2010.07.23 Trojan.Generic.4020034 CAT-QuickHeal 11.00 2010.07.23 - ClamAV 0.96.0.3-git 2010.07.23 - Comodo 5521 2010.07.23 - DrWeb 5.0.2.03300 2010.07.23 - Emsisoft 5.0.0.34 2010.07.23 Trojan.SuspectCRC!IK eSafe 7.0.17.0 2010.07.22 - eTrust-Vet 36.1.7732 2010.07.23 - F-Prot 4.6.1.107 2010.07.23 - F-Secure 9.0.15370.0 2010.07.23 Trojan.Generic.4020034 Fortinet 4.1.143.0 2010.07.23 - GData 21 2010.07.23 Trojan.Generic.4020034 Ikarus T3.1.1.84.0 2010.07.23 Trojan.SuspectCRC Jiangmin 13.0.900 2010.07.23 - Kaspersky 7.0.0.125 2010.07.23 - McAfee 5.400.0.1158 2010.07.23 PWS-Tibia.gen.q McAfee-GW-Edition 2010.1 2010.07.23 PWS-Tibia.gen.q Microsoft 1.6004 2010.07.23 - NOD32 5306 2010.07.23 - Norman 6.05.11 2010.07.23 W32/Malware.LXWD nProtect 2010-07-23.02 2010.07.23 Trojan.Generic.4020034 Panda 10.0.2.7 2010.07.23 Trj/CI.A PCTools 7.0.3.5 2010.07.23 - Prevx 3.0 2010.07.23 High Risk Cloaked Malware Rising 22.57.03.08 2010.07.23 Trojan.Win32.Generic.520950F7 Sophos 4.55.0 2010.07.23 - Sunbelt 6627 2010.07.23 Trojan.Win32.Generic!BT Symantec 20101.1.1.7 2010.07.23 - TheHacker 6.5.2.1.324 2010.07.23 - TrendMicro 9.120.0.1004 2010.07.23 TSPY_TIBIA.SMR TrendMicro-HouseCall 9.120.0.1004 2010.07.23 TSPY_TIBIA.SMR VBA32 3.12.12.6 2010.07.23 - ViRobot 2010.7.23.3956 2010.07.23 - VirusBuster 5.0.27.0 2010.07.23 - weitere Informationen File size: 10240 bytes MD5...: 6881367a3f85d3556a6b6d0d2d746b74 SHA1..: e4b098747485feffd1b3d665669f84d97edf4eef SHA256: 72e2ce33e095452b1146d26a654bf41eb01cd9b91c5f85fc8c03440b65c7f906 ssdeep: 96:NDDbBFx2sp7zN4shLnG010i4Rjp35/6eVewakNci+oelK3Q/5/FAWNc3SGp8d iXt:NDDFFf9zhR26tEcCFC6ae4G PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1603 timedatestamp.....: 0x4b890623 (Sat Feb 27 11:46:43 2010) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x159e 0x1600 5.53 030b652f64d5f40d36ecf070fe95e826 .rdata 0x3000 0x247 0x400 3.02 cd9627ed2c2621bd3e4f25aca85f9922 .data 0x4000 0x18c3 0x600 3.31 63e1302cad42038d22a7d31dcc511312 .reloc 0x6000 0x32a 0x400 5.62 7db48c7ff5979d1775d2ea7a141fc80f ( 1 imports ) > kernel32.dll: IsDebuggerPresent, Sleep, CloseHandle, CopyFileA, CreateFileA, CreateThread, GetEnvironmentVariableA, GetFileSize, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, LoadLibraryA, MoveFileA, ReadFile, VirtualAlloc, WriteFile, lstrcmpA, lstrcpyA, lstrlenA ( 1 exports ) smooth_rect RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=FB7ACB67008BEF9628B300266F3AFF009B06B438' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=FB7ACB67008BEF9628B300266F3AFF009B06B438</a> Geändert von Hizho (23.07.2010 um 21:28 Uhr) |
|
23.07.2010, 21:39
| #4 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, Treffer... Fragt sich nur wo sie gestartet wird... und wie... Hmmm.... prüfe auch das File: ws2_32.dll im gleichen Pfad und ob es eine Datei: old_ws2.old gibt (das dürfte das Backup der nicht verseuchten Datei sein... hoffe ich..) chris Ps.: bin müde mach demnächst die Fliege, fahre z. Z. fast 50h Wochen... das tut meiner Konzentration auch nicht so gut...  )
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) Geändert von Chris4You (23.07.2010 um 21:51 Uhr) |
|
23.07.2010, 22:11
| #5 |
| | Programme wollen auf unsichere Internetseite zugreifen Hey chris, hab ich volles Verständnis für, schönen feierabend!  Hier noch der Scan der ws2_32.dll Die Backup datei ist vorhanden. Malwarebytes Antimalware (MAM) ist noch am laufen, hat schon 4 verseuchte Datein entdeckt. Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2010.07.23.01 2010.07.23 - AntiVir 8.2.4.26 2010.07.23 HEUR/Malware Antiy-AVL 2.0.3.7 2010.07.23 - Authentium 5.2.0.5 2010.07.23 - Avast 4.8.1351.0 2010.07.23 - Avast5 5.0.332.0 2010.07.23 - AVG 9.0.0.851 2010.07.23 - BitDefender 7.2 2010.07.23 - CAT-QuickHeal 11.00 2010.07.23 - ClamAV 0.96.0.3-git 2010.07.23 - Comodo 5521 2010.07.23 - DrWeb 5.0.2.03300 2010.07.23 - Emsisoft 5.0.0.34 2010.07.23 - eSafe 7.0.17.0 2010.07.22 - eTrust-Vet 36.1.7732 2010.07.23 - F-Prot 4.6.1.107 2010.07.23 - F-Secure 9.0.15370.0 2010.07.23 - Fortinet 4.1.143.0 2010.07.23 - GData 21 2010.07.23 - Ikarus T3.1.1.84.0 2010.07.23 - Jiangmin 13.0.900 2010.07.23 - Kaspersky 7.0.0.125 2010.07.23 - McAfee 5.400.0.1158 2010.07.23 - McAfee-GW-Edition 2010.1 2010.07.23 - Microsoft 1.6004 2010.07.23 - NOD32 5307 2010.07.23 - Norman 6.05.11 2010.07.23 - nProtect 2010-07-23.02 2010.07.23 - Panda 10.0.2.7 2010.07.23 - PCTools 7.0.3.5 2010.07.23 - Prevx 3.0 2010.07.23 - Rising 22.57.03.08 2010.07.23 - Sophos 4.55.0 2010.07.23 - Sunbelt 6627 2010.07.23 - SUPERAntiSpyware 4.40.0.1006 2010.07.23 - Symantec 20101.1.1.7 2010.07.23 - TheHacker 6.5.2.1.324 2010.07.23 - TrendMicro 9.120.0.1004 2010.07.23 - TrendMicro-HouseCall 9.120.0.1004 2010.07.23 - VBA32 3.12.12.6 2010.07.23 - ViRobot 2010.7.23.3956 2010.07.23 - VirusBuster 5.0.27.0 2010.07.23 - weitere Informationen File size: 82944 bytes MD5...: 2bbe0bc2d424c98a295b5712607e86ab SHA1..: 5a2d0de167c6905dcf53e4629ad0b56674988ecf SHA256: 2fcb846f4c1719c185515dc2897a848e63ea72dfca8139dab11cee87b84192a2 ssdeep: 1536:bjEHiNVCfAQRQa6kgTDlxvxI7PYF4dp+ujZBUjVqCqdelG:bjEH+VXotgTD /x0Pq4dp9XU3Sj PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1273 timedatestamp.....: 0x4802bffb (Mon Apr 14 02:22:51 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x12153 0x12200 6.48 36dc91fe3b284757999397a41ae19af9 .data 0x14000 0x914 0xa00 4.88 3f623555a7de0f4c657cbdc81a71385b .rsrc 0x15000 0x3f8 0x400 3.43 5ff68b649c14d167754073f671ef1ef1 .reloc 0x16000 0x1dc8 0x1000 6.35 646ff2c7d13a4396ed3caa5e13070073 ( 6 imports ) > ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA > KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection > msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr > ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA > WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle > sknc.dll: - ( 117 exports ) FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Windows Socket 2.0 32-Bit DLL original name: ws2_32.dll internal name: ws2_32.dll file version.: 5.1.2600.5512 (xpsp.080413-0852) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
|
23.07.2010, 22:18
| #6 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, hm das ist grenzwertig... Warten wir mal was mam so von sich gibt, auch prevx wäre wohl geeignet, kann aber nichts entfernen... chris
__________________ --> Programme wollen auf unsichere Internetseite zugreifen |
|
23.07.2010, 22:32
| #7 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, mam scan ist jetzt fertig: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4342 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 23.07.2010 23:29:44 mbam-log-2010-07-23 (23-29-44).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 319052 Laufzeit: 1 Stunde(n), 5 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\victem (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{3803A546-DF29-43CA-A346-9D841505308B}\RP256\A0062714.exe (Backdoor.Poison) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. ps: die ws2_32.dll kann ich ja schonmal durch das Backup ersetzen oder? |
|
23.07.2010, 22:42
| #8 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, lass erst noch otl laufen... es ist nicht sicher ob das wirklich das Backup der Datei ist... suchen wir mal ob die sonst noch wo auf dem Rechner rumfährt... MAM hat die Datei "Sknc.dll" nicht erkannt TrendMicro-Housecall sollte das können: Trend Micro HouseCall ? Jetzt kostenlosen Online-Scan durchführen! - Trend Micro Deutschland Scan mit SystemLook Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
Code:
ATTFilter :filefind
ws2_32.dll
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
23.07.2010, 22:53
| #9 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, Hier das Ergebnis des SystemLook Scans: SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 23:48 on 23/07/2010 by Administrator (Administrator - Elevation successful) ========== filefind ========== Searching for "ws2_32.dll" C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll -----c 82944 bytes [20:10 08/02/2010] [12:00 10/10/2005] D569240A22421D5F670BB6FB6DD522B5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll ------ 82432 bytes [20:13 08/02/2010] [06:52 14/04/2008] 6A35E2D6F5F052C84EC2CEB296389439 C:\WINDOWS\system32\ws2_32.dll --a--- 82944 bytes [12:00 10/10/2005] [13:25 22/07/2010] 2BBE0BC2D424C98A295B5712607E86AB -=End Of File=- Trend Micro HouseCall ist gerade am scannen hier das Ergebnis von otl: otl.txt OTL Logfile: Code:
ATTFilter OTL logfile created on: 23.07.2010 23:35:39 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 83,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 94,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 31,73 Gb Total Space | 16,62 Gb Free Space | 52,38% Space Free | Partition Type: NTFS Drive D: | 217,01 Gb Total Space | 49,56 Gb Free Space | 22,84% Space Free | Partition Type: NTFS Drive E: | 217,01 Gb Total Space | 149,51 Gb Free Space | 68,89% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded Drive H: | 1,89 Gb Total Space | 0,80 Gb Free Space | 42,27% Space Free | Partition Type: FAT I: Drive not present or media not loaded Computer Name: DAVID Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) PRC - C:\Programme\Norton 360\Engine\3.8.0.41\ccSvcHst.exe (Symantec Corporation) PRC - C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin) PRC - C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.) PRC - C:\Programme\RocketDock\RocketDock.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Programme\Norton 360\Engine\3.8.0.41\asOEHook.dll (Symantec Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll (Logitech Inc.) MOD - C:\Programme\RocketDock\RocketDock.dll () ========== Win32 Services (SafeList) ========== SRV - (gupdate) Google Update Service (gupdate) -- C:\Programme\Google\Update\GoogleUpdate.exe File not found SRV - (Hamachi2Svc) -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.) SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software) SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) SRV - (N360) -- C:\Programme\Norton 360\Engine\3.8.0.41\ccSvcHst.exe (Symantec Corporation) SRV - (IGDCTRL) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (SandraAgentSrv) -- C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\RpcAgentSrv.exe (SiSoftware) SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.) SRV - (LVPrcSrv) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.) SRV - (LVCOMSer) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (StarWindService) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software) ========== Driver Services (SafeList) ========== DRV - (NAVEX15) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100722.003\NAVEX15.SYS (Symantec Corporation) DRV - (NAVENG) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100722.003\NAVENG.SYS (Symantec Corporation) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (IDSxpx86) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100721.003\IDSXpx86.sys (Symantec Corporation) DRV - (eeCtrl) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation) DRV - (EraserUtilRebootDrv) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation) DRV - (SymEvent) -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS (Symantec Corporation) DRV - (SymEFA) -- C:\WINDOWS\system32\drivers\N360\0308000.029\SYMEFA.SYS (Symantec Corporation) DRV - (SRTSP) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\SRTSP.SYS (Symantec Corporation) DRV - (SYMTDI) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\SYMTDI.SYS (Symantec Corporation) DRV - (SYMFW) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\SYMFW.SYS (Symantec Corporation) DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\WINDOWS\system32\drivers\N360\0308000.029\SRTSPX.SYS (Symantec Corporation) DRV - (SYMNDIS) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\SYMNDIS.SYS (Symantec Corporation) DRV - (SYMIDS) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\SYMIDS.SYS (Symantec Corporation) DRV - (ccHP) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\ccHPx86.sys (Symantec Corporation) DRV - (BHDrvx86) -- C:\WINDOWS\System32\Drivers\N360\0308000.029\BHDrvx86.sys (Symantec Corporation) DRV - (SymIMMP) -- C:\WINDOWS\system32\drivers\SymIM.sys (Symantec Corporation) DRV - (SymIM) -- C:\WINDOWS\system32\drivers\SymIM.sys (Symantec Corporation) DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software) DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (SANDRA) -- C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\WNt500x86\sandra.sys (SiSoftware) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (BANTExt) -- C:\WINDOWS\System32\Drivers\BANTExt.sys () DRV - (FilterService) -- C:\WINDOWS\system32\drivers\lvuvcflt.sys (Logitech Inc.) DRV - (LVUVC) Logitech QuickCam S5500(UVC) -- C:\WINDOWS\system32\drivers\lvuvc.sys (Logitech Inc.) DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.) DRV - (LVRS) -- C:\WINDOWS\system32\drivers\lvrs.sys (Logitech Inc.) DRV - (LVPr2Mon) -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys () DRV - (LVcKap) -- C:\WINDOWS\system32\drivers\Lvckap.sys (Logitech Inc.) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (xnacc) -- C:\WINDOWS\system32\drivers\xnacc.sys (Microsoft Corporation) DRV - (EZWRITER) -- C:\WINDOWS\system32\drivers\ezwriter.sys (USTC) DRV - (EZWINIT) -- C:\WINDOWS\system32\drivers\ezwinit.sys (USTC) DRV - (Vax347b) -- C:\WINDOWS\system32\DRIVERS\Vax347b.sys ( ) DRV - (Vax347s) -- C:\WINDOWS\System32\Drivers\Vax347s.sys ( ) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\software\mozilla\Firefox\Extensions\\{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\ [2010.04.27 13:33:21 | 000,000,000 | ---D | M] O1 HOSTS File: ([2010.03.31 15:06:06 | 000,001,017 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 im.adtech.de O1 - Hosts: 127.0.0.1 adserver.adtech.de O1 - Hosts: 127.0.0.1 adtech.de O1 - Hosts: 127.0.0.1 ar.atwola.com O1 - Hosts: 127.0.0.1 atwola.com O1 - Hosts: 127.0.0.1 adserver.71i.de O1 - Hosts: 127.0.0.1 adicqserver.71i.de O1 - Hosts: 127.0.0.1 71i.de O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\3.8.0.41\CoIEPlg.dll (Symantec Corporation) O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\3.8.0.41\IPSBHO.dll (Symantec Corporation) O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\3.8.0.41\CoIEPlg.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\3.8.0.41\CoIEPlg.dll (Symantec Corporation) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe () O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKCU..\Run: [RocketDock] C:\Programme\RocketDock\RocketDock.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\WINDOWS\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\FRITZ!DSL\\sarah.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O18 - Protocol\Handler\belarc {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - C:\Programme\Belarc\Advisor\System\BAVoilaX.dll (Belarc, Inc.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\symres {AA1061FE-6C41-421f-9344-69640C9732AB} - C:\Programme\Norton 360\Engine\3.8.0.41\CoIEPlg.dll (Symantec Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.08 18:33:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.23 23:35:07 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.07.23 22:19:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.07.23 22:19:22 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.23 22:19:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.23 22:19:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.23 22:19:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.23 21:12:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\backups [2010.07.23 21:06:45 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe [2010.07.23 20:42:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\.idlerc [2010.07.23 19:44:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Simply Super Software [2010.07.23 19:23:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files [2010.07.23 18:07:56 | 000,000,000 | ---D | C] -- C:\spoolerlogs [2010.07.23 15:24:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.23 15:19:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Temp [2010.07.23 15:19:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.21 16:00:28 | 000,000,000 | ---D | C] -- C:\Programme\OuttaSight [2010.07.17 21:07:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Rockstar Games [2010.07.17 16:15:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Rockstar Games [2010.07.17 15:47:55 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM [2010.07.11 17:42:01 | 000,000,000 | ---D | C] -- C:\Python24 [2010.07.11 16:37:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Recorder [2010.07.11 16:37:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Recorder [2010.07.11 16:35:58 | 000,000,000 | ---D | C] -- C:\Programme\Recorder [2010.07.08 23:57:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2010.07.08 22:45:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc [2010.02.08 18:53:24 | 000,159,616 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\Vax347b.sys [2010.02.08 18:53:24 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\Vax347s.sys [45 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.23 23:36:16 | 001,050,846 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.23 23:36:16 | 000,451,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.23 23:36:16 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.23 23:36:16 | 000,081,122 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.23 23:36:16 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.23 23:32:25 | 000,000,566 | ---- | M] () -- C:\WINDOWS\tasks\Automatic troubleshooting.job [2010.07.23 23:31:57 | 000,002,213 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk [2010.07.23 23:31:53 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.23 23:31:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.23 23:31:04 | 005,767,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.07.23 22:19:24 | 000,000,683 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.23 22:19:00 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.07.23 21:27:34 | 000,000,812 | ---- | M] () -- C:\WINDOWS\win.ini [2010.07.23 21:27:34 | 000,000,256 | RHS- | M] () -- C:\boot.ini [2010.07.23 21:27:34 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.07.23 21:04:10 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe [2010.07.23 19:07:12 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.07.23 13:22:20 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.22 21:49:06 | 000,310,137 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\bookmarks-2010-07-22.json [2010.07.22 13:05:16 | 000,156,672 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.22 01:00:20 | 000,010,597 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel [2010.07.20 01:43:52 | 000,000,038 | ---- | M] () -- C:\WINDOWS\avisplitter.INI [2010.07.18 21:31:41 | 000,000,045 | ---- | M] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.18 21:31:40 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\initdebug.nfo [2010.07.18 03:03:24 | 004,775,882 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.07.17 17:51:57 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\umdf\MsftWdf_user_01_00_00.Wdf [2010.07.17 17:41:34 | 000,217,180 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2010.07.17 17:41:34 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin [2010.07.17 17:41:33 | 000,217,180 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2010.07.17 17:41:33 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk [2010.07.17 16:38:56 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.07.11 16:35:53 | 000,249,856 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Setup1.exe [2010.07.11 16:35:52 | 000,073,216 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ST6UNST.EXE [2010.06.28 00:48:30 | 000,001,024 | ---- | M] () -- C:\WINDOWS\System32\PDF2TXT.DAT [45 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.23 22:19:24 | 000,000,683 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.23 17:05:07 | 000,310,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\bookmarks-2010-07-22.json [2010.07.22 15:25:03 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\sknc.dll [2010.07.22 01:00:20 | 000,010,597 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel [2010.07.21 16:00:28 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\rWindowManager.ocx [2010.07.21 16:00:28 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\rWinHook.dll [2010.07.18 21:31:40 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.18 21:31:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\initdebug.nfo [2010.07.17 17:41:34 | 000,217,180 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2010.07.17 17:41:33 | 000,217,180 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2010.07.17 17:41:33 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin [2010.07.17 17:41:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk [2010.06.28 00:48:30 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\PDF2TXT.DAT [2010.06.19 18:56:50 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2010.05.01 18:40:33 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\decdll.dll [2010.04.28 17:19:37 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.04.11 02:37:23 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\WMVDEC0D.dll [2010.04.01 02:13:43 | 000,066,482 | R--- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2010.03.31 14:09:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2010.03.12 14:57:51 | 000,000,952 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.03.06 02:43:38 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.INI [2010.02.23 15:49:01 | 000,003,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\BANTExt.sys [2010.02.21 17:05:46 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.02.21 17:05:45 | 000,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2010.02.21 17:05:45 | 000,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2010.02.21 17:05:44 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2010.02.21 17:05:43 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2010.02.21 17:05:43 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2010.02.16 14:56:00 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI [2010.02.14 23:44:54 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2010.02.10 17:53:32 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2010.02.08 21:25:03 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2010.02.08 18:53:33 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll [2008.02.05 18:20:08 | 000,025,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys [2005.10.10 14:00:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys ========== Alternate Data Streams ========== @Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF @Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9 < End of report > extras.txt OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 23.07.2010 23:35:39 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 83,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 94,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 31,73 Gb Total Space | 16,62 Gb Free Space | 52,38% Space Free | Partition Type: NTFS
Drive D: | 217,01 Gb Total Space | 49,56 Gb Free Space | 22,84% Space Free | Partition Type: NTFS
Drive E: | 217,01 Gb Total Space | 149,51 Gb Free Space | 68,89% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 1,89 Gb Total Space | 0,80 Gb Free Space | 42,27% Space Free | Partition Type: FAT
I: Drive not present or media not loaded
Computer Name: DAVID
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\opera.exe (Opera Software)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 2.5.Browse] -- "C:\Programme\ACD Systems\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems)
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"UpdatesDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, Inc.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:AVM FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!DSL - fboxupd.exe -- (AVM Berlin)
"C:\Programme\FRITZ!DSL\WebwaIgd.exe" = C:\Programme\FRITZ!DSL\WebwaIgd.exe:*:Enabled:AVM FRITZ!DSL - webwaigd.exe -- (AVM Berlin)
"C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\RpcAgentSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service -- (SiSoftware)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"D:\Games\Installation\Battlefield\BFBC2Updater.exe" = D:\Games\Installation\Battlefield\BFBC2Updater.exe:*:Enabled:Battlefield: Bad Company™ 2 -- (EA Digital Illusions CE AB)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, Inc.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"D:\Games\Installation\Pro Evo 2010\pes2010.exe" = D:\Games\Installation\Pro Evo 2010\pes2010.exe:*:Enabled:Pro Evolution Soccer 2010 -- (Konami Digital Entertainment Co., Ltd.)
"C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\WNt500x86\RpcSandraSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Professional Business 2009\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service -- (SiSoftware)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}" = Opera 10.51
"{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.0 Build #1211 Banner Remover 1.0
"{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}" = Guitar Hero III
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1A15507A-8551-4626-915D-3D5FA095CC1B}" = Corel Paint Shop Pro X
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{283FFB23-8751-4B08-ACB8-5E0F8BCF7727}" = Pro Evolution Soccer 2010
"{2C9EE786-1DDB-4C98-8FA4-B1B9B5A66B77}" = Microsoft Games for Windows - LIVE
"{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5454083B-1308-4485-BF17-111000028701}" = Grand Theft Auto: Episodes from Liberty City
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60E2C8C9-6CF3-4B1A-9618-E304946C94E6}" = Python 2.4.4
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6444D9D9-CD6C-4464-B970-55C606C944DC}" = Logitech QuickCam
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}" = AVM FRITZ!DSL
"{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}" = Text-To-Speech-Runtime
"{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97}" = Age of Empires III
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8A74DEFD-A224-49CC-AB80-4E88BC730125}" = LogMeIn Hamachi
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A126E617-63F0-4E57-BFA4-7190F5845C39}" = Guitar Hero World Tour
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4F3A360-E1E2-479D-ADE7-9BE3B07F4539}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2196}_is1" = SiSoftware Sandra Professional Business 2009
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F69FD33C-8815-46BF-9134-A643DE68F3C0}" = WinFast(R) Display Driver
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"{FE3997D3-6B56-4AC4-A99C-9DDFC45359BF}" = TuneUp Utilities Language Pack (en-US)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Belarc Advisor" = Belarc Advisor 7.2
"DartPro_is1" = DartPro 2.9.0.0
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"EFCL SecuLauncher Error Fix v1.1 by TokZic 1.1" = EFCL SecuLauncher Error Fix v1.1 by TokZic 1.1
"EFLC Errors Fix v1.3 TokZic 4 myGully" = EFLC Errors Fix v1.3 TokZic 4 myGully
"EVEREST Corporate Edition_is1" = EVEREST Corporate Edition v5.01
"Fraps" = Fraps (remove only)
"Free Studio_is1" = Free Studio version 4.3
"Free Video Converter_is1" = Free Video Converter V 2.6
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"Hoffmanns Lotto-Experte_is1" = Hoffmans Lotto-Experte V2.11
"InstallShield_{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97}" = Age of Empires III
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 3.9.5
"L4D2SP" = Left 4 Dead 2 Standalone Patch™
"Left4Dead2-hohesC_is1" = Left 4 Dead 2 - 2.0.0.4a
"LogMeIn Hamachi" = LogMeIn Hamachi
"lvdrivers_11.70" = Logitech QuickCam-Treiberpaket
"MAGIX 3D Maker D" = MAGIX 3D Maker (embeded)
"MAGIX Music Maker 16 Premium Download-Version D" = MAGIX Music Maker 16 Premium Download-Version
"MAGIX Screenshare D" = MAGIX Screenshare
"MAGIX Speed burnR D" = MAGIX Speed burnR
"MAGIX Video deluxe 16 Plus Download-Version D" = MAGIX Video deluxe 16 Plus Download-Version 9.0.0.55 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"N360" = Norton 360
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"phonostar3RadioPlayer_is1" = phonostar-Player Version 3.01.3
"PhotoScape" = PhotoScape
"RocketDock_is1" = RocketDock 1.3.5
"Sony Ericsson Themes Creator" = Sony Ericsson Themes Creator 4.16.2.6
"SopCast" = SopCast 3.2.8
"Spacetanks_is1" = Spacetanks
"ST6UNST #1" = Recorder
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"TIMELEFT3_is1" = TimeLeft
"TIPP10_is1" = TIPP10 Version 2.0.3
"TuneUp Utilities" = TuneUp Utilities
"Uninstall_is1" = Uninstall 1.0.0.1
"Veetle TV" = Veetle TV 0.9.17
"VLC media player" = VLC media player 1.1.0
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Xbox_360_CC_Driver" = Xbox 360 Controller for Windows
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.07.2010 15:35:28 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 15:35:28 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:08:29 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:08:29 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:08:29 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:08:29 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:32:02 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:32:02 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:32:02 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 23.07.2010 17:32:02 | Computer Name = DAVID | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
[ System Events ]
Error - 23.07.2010 15:35:48 | Computer Name = DAVID | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst AVM
IGD CTRL Service.
Error - 23.07.2010 15:35:49 | Computer Name = DAVID | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist
bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
durchgeführt: Starten Sie den Dienst neu..
Error - 23.07.2010 16:01:45 | Computer Name = DAVID | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 5.84.195.94 über die
Netzwerkkarte mit der Netzwerkadresse 0023C354C35E ist verloren gegangen.
Error - 23.07.2010 17:26:26 | Computer Name = DAVID | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{B68D4394-8245-45A9-B5FF-855274ABC187}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.
Error - 23.07.2010 17:31:58 | Computer Name = DAVID | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.178.25 für die Netzwerkkarte mit der Netzwerkadresse
001E90FCDB43 wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
Error - 23.07.2010 17:31:59 | Computer Name = DAVID | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 23.07.2010 17:32:15 | Computer Name = DAVID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "EZWINIT" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1058
Error - 23.07.2010 17:32:15 | Computer Name = DAVID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "EZWRITER" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1058
Error - 23.07.2010 17:32:15 | Computer Name = DAVID | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst AVM
IGD CTRL Service.
Error - 23.07.2010 17:32:16 | Computer Name = DAVID | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist
bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
durchgeführt: Starten Sie den Dienst neu..
< End of report >
TrendMicro-Housecall hat die Datei "Sknc.dll" als Infiziert angezeigt und nachdem ich auf "Beheben" geklickt habe jetzt nach Reboot Bluescreen: Stop : c000021a [Schwerer Systemfehler] Der Systemprozess Windows Logon Prozess wurde unerwartet beendet Status : 0xc0000135 (0x00000000 0x00000000). Das System wurde heruntergefahren. Das Ganze auch im abgesicherten Modus :/ Kann man da nochwas machen? PS: Vielen Dank für die bisherige Hilfe chris! Geändert von Hizho (23.07.2010 um 23:19 Uhr) |
|
24.07.2010, 07:55
| #10 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, shit.... das liegt an der ws2_32.dll, die muss wiederhergestellt werden (aus der Backupdatei "old_ws2.old "). Dazu musst Du entweder es schaffen von CD zu booten (Boot-CD vorhanden?) und die Datei auf die ws2_32.dll zu kopieren, oder die Festplatte ausbauen und als Slave an einen zweiten Rechner hängen den Du bootest und von dem Du dann so vorgehen kannst)... Allerdings hätte ich nicht gedacht, das Trendmicro nicht nur die verseuchte Daten sondern auch die manipulierte "zurück ändert", das war mein Fehler... Die Gefahr ist, dass Teile des NTFS-Dateisystems zerschossen wurden... Das wird man aber nach der Wiederherstellung der Dateien erst sehen können... Dann müssen wir mit Recovery-Programmen rangehen... Allerdings hat MAM auch Teile von Bifrost gefunden, und da ist Neuaufsetzen eigentlich Pflicht... Bin Nachmittags/Abends wieder erreichbar... chris Boot-CD selber bauen: Knoppix-Live-CD erstellen Folge den Anweisungen hier: http://www.trojaner-board.de/75619-a...x-live-cd.html Boot-CD erstellen: Am einfachsten geht dies über UBCD for Windows, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Schnellanweisung für XP: Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
24.07.2010, 13:52
| #11 |
| | Programme wollen auf unsichere Internetseite zugreifen Hey, Hab mithilfe der Boot-CD die ws2_32.dll mit der Backupdatei ersetzt. Windows startet jetzt wieder normal und auch das Problem mit dem Zugriff auf diese Internetseite ist soweit gelöst. Demnach hat das NTFS-Dateisystem wohl keinen Schaden erlitten, oder? Du hast angesprochen das MAM Teile von Bifrost gefunden hat, mit welchem Programm soll ich jetzt weiter vorgehen um dieses Problem zu spezifieren? mfg |
|
24.07.2010, 20:46
| #12 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, ich schaue mir das OTL-log mal durch... Würde Prevx laufen lassen, Bifrost ist ein Backdoor, man weis nie was alles auf dem Rechner geändert wurde, daher wird Neuaufsetzen empfohlen... Prevx: Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen) Prevx 3.0 for Home and Family Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
24.07.2010, 21:12
| #13 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, Also Prevx hat nichts gefunden, hab auch heute nochmal MAM durchlaufen lassen, hat auch nichts mehr gefunden. |
|
24.07.2010, 21:18
| #14 |
| | Programme wollen auf unsichere Internetseite zugreifen Hi, ist das von Norton: C:\WINDOWS\tasks\Automatic troubleshooting.job Sonst sieht es gut aus... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
24.07.2010, 21:26
| #15 |
| | Programme wollen auf unsichere Internetseite zugreifen Hey, Gehört zu "TuneUp Utilities 2010" Ok dann hat sich mein Problem soweit gelöst, wenn es noch mal zu Schwierigkeiten kommen sollte, melde ich mich dann hier im Forum. Vielen Dank für die Hilfe. |
|
| Themen zu Programme wollen auf unsichere Internetseite zugreifen |
| anderen, direkt, dsl, firefox, firewall, fritz box, gen, heute, installiert, internet, internetseite, meldung, natürlich, neu, neuinstallation, nicht mehr, problem, process, programm, programme, schonmal, seite, sichere, verbindung, win, win 32, zugriff |
Linear-Darstellung
