Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll

know2010 · 28.07.2010, 09:47

Hallo liebe Helfer,

habe gestern beim Avira Scan die Nachricht erhalten, dass mein System den Rootkit RKIT/Agent 119808 enthält.
Die Datei konnte weder in Quarantäne verschoben, noch gelöscht werden.

Habe im Internet geforscht und bin auf GMER gestossen. Habe mein System damit gescannt. Das Ergebnis ist mit Avira identsich.

Ich bitte um Hilfe, wie man diesen ROOTKIT entfernen kann, muß aber hinzufügen, dass ich Laie auf dem Gebiet der Reinigung von Computersystemen bin.

Auch wüßte ich gerne, was dieser ROOTKIT macht.

Danke
know2010

markusg · 28.07.2010, 13:13

naja was ein rootkit halt so macht, daten stehlen, pws zb online banking zugänge malware kann nachgeladen worden sein.
betreibst du onlinebanking oder sonstige wichtige geschäfte am pc? dann wäre bank anrufen und neu aufsetzen das sicherste.
da nur das 100 %ig sicherheit bietet.

wenn du bereinigen willst, download malwarebytes:
Malwarebytes
instalieren, updaten, über die registerkarte aktualisierung.
dann schalte die internetverbindung ab, in dem du wlan ausschaltest, bzw das lankabel ziehst.
schließe auch alles an laufenden programmen, auch den avira guard.
starte nun nen komplett scan, funde löschen, evtl. neustarten, zeigt Malwarebytes an, dann avira und internet ein, log posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

know2010 · 28.07.2010, 17:10

Hallo Markus,

vielen Dank für die Unterstützung.

Habe mit Malwarebytes gearbeitet. 2 infizierte Dateien und ein infizierter Registrierungsschlüssel wurden gefunden und auch eliminiert. Aber vom RKIT/Agent 119808 keine Spur.

Hier das Protokoll:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4363

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

28.07.2010 15:58:12
mbam-log-2010-07-28 (15-58-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 267916
Laufzeit: 45 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
E:\backup\***\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

Anschließend habe ich Avira laufen lassen. Das Programm zeigt mir nach wie vor den RKIT\Agent 119808 an.

Hier das Protokoll:
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:54:05
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:54:05
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 11:31:05
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:23:59
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:31:12
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:56:08
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 06:24:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 12:47:34
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 12:47:34
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 12:47:34
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 12:47:34
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 12:47:34
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 12:47:34
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 06:35:17
VBASE014.VDF : 7.10.9.199 2048 Bytes 26.07.2010 06:35:17
VBASE015.VDF : 7.10.9.200 2048 Bytes 26.07.2010 06:35:17
VBASE016.VDF : 7.10.9.201 2048 Bytes 26.07.2010 06:35:17
VBASE017.VDF : 7.10.9.202 2048 Bytes 26.07.2010 06:35:17
VBASE018.VDF : 7.10.9.203 2048 Bytes 26.07.2010 06:35:17
VBASE019.VDF : 7.10.9.204 2048 Bytes 26.07.2010 06:35:17
VBASE020.VDF : 7.10.9.205 2048 Bytes 26.07.2010 06:35:18
VBASE021.VDF : 7.10.9.206 2048 Bytes 26.07.2010 06:35:18
VBASE022.VDF : 7.10.9.207 2048 Bytes 26.07.2010 06:35:18
VBASE023.VDF : 7.10.9.208 2048 Bytes 26.07.2010 06:35:18
VBASE024.VDF : 7.10.9.209 2048 Bytes 26.07.2010 06:35:18
VBASE025.VDF : 7.10.9.210 2048 Bytes 26.07.2010 06:35:18
VBASE026.VDF : 7.10.9.211 2048 Bytes 26.07.2010 06:35:18
VBASE027.VDF : 7.10.9.212 2048 Bytes 26.07.2010 06:35:18
VBASE028.VDF : 7.10.9.213 2048 Bytes 26.07.2010 06:35:18
VBASE029.VDF : 7.10.9.214 2048 Bytes 26.07.2010 06:35:18
VBASE030.VDF : 7.10.9.215 2048 Bytes 26.07.2010 06:35:18
VBASE031.VDF : 7.10.9.225 100864 Bytes 27.07.2010 22:12:38
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 13.05.2010 10:56:39
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 22.07.2010 06:39:28
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 10:56:36
AESBX.DLL : 8.1.3.1 254324 Bytes 13.05.2010 10:56:40
AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 06:39:26
AEPACK.DLL : 8.2.3.2 471414 Bytes 22.07.2010 06:39:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 06:39:22
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 22.07.2010 06:39:22
AEHELP.DLL : 8.1.13.2 242039 Bytes 22.07.2010 06:39:15
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 06:39:14
AEEMU.DLL : 8.1.2.0 393588 Bytes 13.05.2010 10:56:26
AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 06:39:13
AEBB.DLL : 8.1.1.0 53618 Bytes 13.05.2010 10:56:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, A:, G:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 16:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbucoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '471' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\Users\***\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
Beginne mit der Suche in 'D:\' <XP>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
[WARNUNG] Die Datei wurde ignoriert.

Ende des Suchlaufs: Mittwoch, 28. Juli 2010 17:52
Benötigte Zeit: 38:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

23209 Verzeichnisse wurden überprüft
379894 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
379893 Dateien ohne Befall
2942 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Wie soll ich nun weiter vorgehen?

markusg · 28.07.2010, 17:20

steht doch schon oben, mit otl :-)

know2010 · 28.07.2010, 17:54

Habe ich soeben gemacht, Markus,

gibt es die Möglichkeit, die OTL-Protokolle zu verschlüsseln, so dass nur Du sie lesen kannst? Ansonsten habe ich viel Arbeit, sie zu anonymisieren.

markusg · 28.07.2010, 18:08

nein.
du kannst aber, wenn du deinen nutzernamen löschen willst, die funktion suchen und ersetzen wählen.
in wordpad ist es strg+h
dort schreibst du oben bei suchen deinen namen, und bei ersetzen ***
und dann auf suchen klicken. aber bedenke wenn wir was löschen, musst du evtl. deinen namen einfügen

know2010 · 28.07.2010, 19:05

So, hier OTL Extras:

OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 28.07.2010 18:27:41 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = E:\Eigene Dateien\Documents
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18928)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 56,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 32,69 Gb Total Space | 10,02 Gb Free Space | 30,67% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 4,87 Gb Free Space | 33,28% Space Free | Partition Type: NTFS
Drive E: | 185,55 Gb Total Space | 149,68 Gb Free Space | 80,67% Space Free | Partition Type: NTFS
Drive F: | 4,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-PC
Current User Name:***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 360 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- Reg Error: Value error. File not found
 
[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Value error.
htmlfile [opennew] -- Reg Error: Value error.
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01E63C63-CCF5-4B6B-834B-308300059317}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{19716EDF-9041-409A-AC7B-052BF45FFD58}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{31371B3A-67AF-4031-936C-FDD794BAE98F}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe | 
"{33C2982B-AC14-4B33-9C36-9469B205F320}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{352FB56F-6C4D-474B-958E-4898D8D20ED9}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe | 
"{3D06535B-2A0C-469D-896E-5650130697D6}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe | 
"{49BF56AF-B79B-47F2-A65A-F98B41828B02}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe | 
"{4BE6CFE1-F463-4BB4-BD65-BBAE9A27D65B}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{57435039-CC10-423C-A727-83BCF071C357}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe | 
"{5A0DF60A-D03A-40DC-A7DE-6F7A431843E8}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe | 
"{689898A6-D420-4FA9-A0E4-9F63D0A9D7DA}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{6C0CB4F5-2990-4743-B206-7A5F450EB94A}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{7D3A141A-92B1-4C6B-ABDD-272080EBC1D6}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{802E9939-5406-404D-BD6A-01C414489AC6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{94B46483-D167-4956-9E67-9D81017DBAF7}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{9F1750CD-A50B-42CA-AEFB-CCAEBBAD3079}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{A39839CE-4074-4113-90E9-A8B4D55922E7}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{A576EB9B-9348-42F1-88BE-14033C7DEF3F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{ACFFE270-753A-4CB6-9A9A-B4083CFE5845}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{B3091039-3C16-498E-85A9-73944FBD55DE}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe | 
"{D7A4A548-E478-4737-B42F-97048953313F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{DC611BF1-7391-4F40-B0F3-35FBB3190E4D}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{E1952D66-41E5-4590-9EEB-83B2F12E8949}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe | 
"{E6B97ED5-46FF-46D2-8645-8F42ACDC7D30}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{E76BE80A-C456-484B-A585-9F8F38F08CA7}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe | 
"{EA0A21AA-2555-49DB-81D5-A388DF10BB63}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{F879F500-1F84-46DF-BFE9-E08890361CCE}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe | 
"{FF61891C-FE14-4A4E-9F8F-709D453CBFF8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06026042-0F4D-41B5-B8B1-67E234B9E514}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{0C1393AB-AD13-425F-9378-E95762119CCA}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{221C370F-F63F-4558-B38F-F8FE2042D696}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe | 
"{229F5781-E880-4BC7-A23A-065BD4C14C0A}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe | 
"{39551905-FC3F-4566-A442-762F58516448}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{3BD57AC6-EE9D-4548-A2C1-72C3B3A204B0}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{3E7413C4-9346-426E-9226-DEA21365DC33}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe | 
"{5BE6B76D-51AC-4CB2-B8A8-67DDF08FF6C4}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe | 
"{74C16E8E-EBBC-40D0-A8EB-2BBDB0EDC598}" = protocol=17 | dir=in | app=c:\windows\system32\lxbucoms.exe | 
"{75BDFEA8-6370-4A20-89A7-D8B680F6E357}" = protocol=6 | dir=in | app=c:\windows\system32\lxbucoms.exe | 
"{7E12A67C-A383-4E6D-BDE4-C95101396AB7}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe | 
"{864B6443-1F5C-4283-BAED-334D38D6E1FE}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe | 
"{8C5FCC0D-E8EB-4AE0-B112-BECA52E9D3BE}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe | 
"{A385B48B-F213-4F6A-964E-AB6F07BF362B}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe | 
"{CDD9C9BD-E707-41CE-BAD8-30B0B9F8528D}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe | 
"{E89C4F4D-ACF5-4695-918E-5BC457B7771E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{F0111570-CBFF-46BA-B425-BADF62043963}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe | 
"{FBFBC0D6-6F4B-49E6-8464-AC49E1485896}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe | 
"TCP Query User{973C46D1-9905-49C1-B580-42C9E39A681F}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=6 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe | 
"TCP Query User{E39375AC-437A-4540-A4B8-995C69BF9553}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"TCP Query User{EF63A997-0FD0-41D3-A4AF-DD5B53DDB32B}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe | 
"UDP Query User{855C559A-B2B9-45AD-B35F-9102CED250D0}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"UDP Query User{990DDA65-E059-4F98-B41A-FEF619458AB2}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=17 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe | 
"UDP Query User{C5542540-1AEB-4872-8DC2-F7D9E71373A9}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6C30E300-8DDA-2F11-0B99-405F7DC83C7A}" = Catalyst Control Center InstallProxy
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8AAE765-CD28-2806-0C3E-56EBB64FA5A5}" = ATI Catalyst Install Manager
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{C1E544E5-EF3C-4103-A57B-3A499FD91031}" = Nero 7 Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe  1.4.124.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3ECED46-91CC-4F44-9917-9A20085D5D26}" = Debugging Tools for Windows
"{F9000000-0001-0000-0000-074957833700}" = ABBYY FineReader 9.0 Professional Edition
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.4 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"FileHippo.com" = FileHippo.com Update Checker
"FreePDF_XP" = FreePDF XP (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"Lexmark 6200 Series" = Lexmark 6200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PC-Lab2000SE" = PC-Lab2000SE
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"VLC media player" = VideoLAN VLC media player 0.8.6i
"WinDSO_FG32" = WinDSO_FG32
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.05.2010 00:50:14 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 21.05.2010 01:29:34 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 24.05.2010 03:08:56 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 24.05.2010 03:09:00 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 24.05.2010 15:41:13 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 25.05.2010 18:12:39 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description = 
 
Error - 26.05.2010 07:13:47 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 26.05.2010 07:14:59 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description = 
 
Error - 26.05.2010 07:15:04 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 26.05.2010 07:15:11 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description = 
 
[ Media Center Events ]
Error - 16.04.2008 17:58:30 | Computer Name = ***-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
 gescheitert.
 
[ System Events ]
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 28.07.2010 08:04:02 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 28.07.2010 um 14:02:58 unerwartet heruntergefahren.
 
Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 28.07.2010 09:59:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7016
Description = 
 
Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description = 
 
 
< End of report >

--- --- ---

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- Reg Error: Value error. File not found

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Value error.
htmlfile [opennew] -- Reg Error: Value error.
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========

========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01E63C63-CCF5-4B6B-834B-308300059317}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{19716EDF-9041-409A-AC7B-052BF45FFD58}" = lport=5358 | protocol=6 | dir=in | app=system |
"{31371B3A-67AF-4031-936C-FDD794BAE98F}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{33C2982B-AC14-4B33-9C36-9469B205F320}" = lport=5357 | protocol=6 | dir=in | app=system |
"{352FB56F-6C4D-474B-958E-4898D8D20ED9}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{3D06535B-2A0C-469D-896E-5650130697D6}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{49BF56AF-B79B-47F2-A65A-F98B41828B02}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{4BE6CFE1-F463-4BB4-BD65-BBAE9A27D65B}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{57435039-CC10-423C-A727-83BCF071C357}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{5A0DF60A-D03A-40DC-A7DE-6F7A431843E8}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{689898A6-D420-4FA9-A0E4-9F63D0A9D7DA}" = rport=5358 | protocol=6 | dir=out | app=system |
"{6C0CB4F5-2990-4743-B206-7A5F450EB94A}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{7D3A141A-92B1-4C6B-ABDD-272080EBC1D6}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{802E9939-5406-404D-BD6A-01C414489AC6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{94B46483-D167-4956-9E67-9D81017DBAF7}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{9F1750CD-A50B-42CA-AEFB-CCAEBBAD3079}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{A39839CE-4074-4113-90E9-A8B4D55922E7}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{A576EB9B-9348-42F1-88BE-14033C7DEF3F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{ACFFE270-753A-4CB6-9A9A-B4083CFE5845}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{B3091039-3C16-498E-85A9-73944FBD55DE}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{D7A4A548-E478-4737-B42F-97048953313F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{DC611BF1-7391-4F40-B0F3-35FBB3190E4D}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{E1952D66-41E5-4590-9EEB-83B2F12E8949}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{E6B97ED5-46FF-46D2-8645-8F42ACDC7D30}" = rport=5357 | protocol=6 | dir=out | app=system |
"{E76BE80A-C456-484B-A585-9F8F38F08CA7}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{EA0A21AA-2555-49DB-81D5-A388DF10BB63}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{F879F500-1F84-46DF-BFE9-E08890361CCE}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{FF61891C-FE14-4A4E-9F8F-709D453CBFF8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06026042-0F4D-41B5-B8B1-67E234B9E514}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{0C1393AB-AD13-425F-9378-E95762119CCA}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{221C370F-F63F-4558-B38F-F8FE2042D696}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{229F5781-E880-4BC7-A23A-065BD4C14C0A}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{39551905-FC3F-4566-A442-762F58516448}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{3BD57AC6-EE9D-4548-A2C1-72C3B3A204B0}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe |
"{3E7413C4-9346-426E-9226-DEA21365DC33}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{5BE6B76D-51AC-4CB2-B8A8-67DDF08FF6C4}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{74C16E8E-EBBC-40D0-A8EB-2BBDB0EDC598}" = protocol=17 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{75BDFEA8-6370-4A20-89A7-D8B680F6E357}" = protocol=6 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{7E12A67C-A383-4E6D-BDE4-C95101396AB7}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{864B6443-1F5C-4283-BAED-334D38D6E1FE}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{8C5FCC0D-E8EB-4AE0-B112-BECA52E9D3BE}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{A385B48B-F213-4F6A-964E-AB6F07BF362B}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{CDD9C9BD-E707-41CE-BAD8-30B0B9F8528D}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{E89C4F4D-ACF5-4695-918E-5BC457B7771E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{F0111570-CBFF-46BA-B425-BADF62043963}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{FBFBC0D6-6F4B-49E6-8464-AC49E1485896}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe |
"TCP Query User{973C46D1-9905-49C1-B580-42C9E39A681F}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=6 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"TCP Query User{E39375AC-437A-4540-A4B8-995C69BF9553}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{EF63A997-0FD0-41D3-A4AF-DD5B53DDB32B}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe |
"UDP Query User{855C559A-B2B9-45AD-B35F-9102CED250D0}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{990DDA65-E059-4F98-B41A-FEF619458AB2}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=17 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"UDP Query User{C5542540-1AEB-4872-8DC2-F7D9E71373A9}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6C30E300-8DDA-2F11-0B99-405F7DC83C7A}" = Catalyst Control Center InstallProxy
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8AAE765-CD28-2806-0C3E-56EBB64FA5A5}" = ATI Catalyst Install Manager
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{C1E544E5-EF3C-4103-A57B-3A499FD91031}" = Nero 7 Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe 1.4.124.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3ECED46-91CC-4F44-9917-9A20085D5D26}" = Debugging Tools for Windows
"{F9000000-0001-0000-0000-074957833700}" = ABBYY FineReader 9.0 Professional Edition
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.4 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"FileHippo.com" = FileHippo.com Update Checker
"FreePDF_XP" = FreePDF XP (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"Lexmark 6200 Series" = Lexmark 6200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PC-Lab2000SE" = PC-Lab2000SE
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"VLC media player" = VideoLAN VLC media player 0.8.6i
"WinDSO_FG32" = WinDSO_FG32

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 21.05.2010 00:50:14 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 21.05.2010 01:29:34 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:08:56 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:09:00 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 15:41:13 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 25.05.2010 18:12:39 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:13:47 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:14:59 | Computer Name =***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:15:04 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:15:11 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

[ Media Center Events ]
Error - 16.04.2008 17:58:30 | Computer Name = ***-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
gescheitert.

[ System Events ]
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 08:04:02 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 28.07.2010 um 14:02:58 unerwartet heruntergefahren.

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 09:59:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7016
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

< End of report >

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- Reg Error: Value error. File not found

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Value error.
htmlfile [opennew] -- Reg Error: Value error.
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========

========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01E63C63-CCF5-4B6B-834B-308300059317}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{19716EDF-9041-409A-AC7B-052BF45FFD58}" = lport=5358 | protocol=6 | dir=in | app=system |
"{31371B3A-67AF-4031-936C-FDD794BAE98F}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{33C2982B-AC14-4B33-9C36-9469B205F320}" = lport=5357 | protocol=6 | dir=in | app=system |
"{352FB56F-6C4D-474B-958E-4898D8D20ED9}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{3D06535B-2A0C-469D-896E-5650130697D6}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{49BF56AF-B79B-47F2-A65A-F98B41828B02}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{4BE6CFE1-F463-4BB4-BD65-BBAE9A27D65B}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{57435039-CC10-423C-A727-83BCF071C357}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{5A0DF60A-D03A-40DC-A7DE-6F7A431843E8}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{689898A6-D420-4FA9-A0E4-9F63D0A9D7DA}" = rport=5358 | protocol=6 | dir=out | app=system |
"{6C0CB4F5-2990-4743-B206-7A5F450EB94A}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{7D3A141A-92B1-4C6B-ABDD-272080EBC1D6}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{802E9939-5406-404D-BD6A-01C414489AC6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{94B46483-D167-4956-9E67-9D81017DBAF7}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{9F1750CD-A50B-42CA-AEFB-CCAEBBAD3079}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{A39839CE-4074-4113-90E9-A8B4D55922E7}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{A576EB9B-9348-42F1-88BE-14033C7DEF3F}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{ACFFE270-753A-4CB6-9A9A-B4083CFE5845}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{B3091039-3C16-498E-85A9-73944FBD55DE}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{D7A4A548-E478-4737-B42F-97048953313F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{DC611BF1-7391-4F40-B0F3-35FBB3190E4D}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{E1952D66-41E5-4590-9EEB-83B2F12E8949}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=%systemroot%\system32\dfsr.exe |
"{E6B97ED5-46FF-46D2-8645-8F42ACDC7D30}" = rport=5357 | protocol=6 | dir=out | app=system |
"{E76BE80A-C456-484B-A585-9F8F38F08CA7}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe |
"{EA0A21AA-2555-49DB-81D5-A388DF10BB63}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe |
"{F879F500-1F84-46DF-BFE9-E08890361CCE}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=%systemroot%\system32\svchost.exe |
"{FF61891C-FE14-4A4E-9F8F-709D453CBFF8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06026042-0F4D-41B5-B8B1-67E234B9E514}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{0C1393AB-AD13-425F-9378-E95762119CCA}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{221C370F-F63F-4558-B38F-F8FE2042D696}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{229F5781-E880-4BC7-A23A-065BD4C14C0A}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{39551905-FC3F-4566-A442-762F58516448}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{3BD57AC6-EE9D-4548-A2C1-72C3B3A204B0}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe |
"{3E7413C4-9346-426E-9226-DEA21365DC33}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{5BE6B76D-51AC-4CB2-B8A8-67DDF08FF6C4}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{74C16E8E-EBBC-40D0-A8EB-2BBDB0EDC598}" = protocol=17 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{75BDFEA8-6370-4A20-89A7-D8B680F6E357}" = protocol=6 | dir=in | app=c:\windows\system32\lxbucoms.exe |
"{7E12A67C-A383-4E6D-BDE4-C95101396AB7}" = protocol=6 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{864B6443-1F5C-4283-BAED-334D38D6E1FE}" = protocol=17 | dir=out | app=%programfiles%\windows collaboration\wincollab.exe |
"{8C5FCC0D-E8EB-4AE0-B112-BECA52E9D3BE}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{A385B48B-F213-4F6A-964E-AB6F07BF362B}" = protocol=6 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{CDD9C9BD-E707-41CE-BAD8-30B0B9F8528D}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbupswx.exe |
"{E89C4F4D-ACF5-4695-918E-5BC457B7771E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{F0111570-CBFF-46BA-B425-BADF62043963}" = protocol=17 | dir=in | app=%programfiles%\windows collaboration\wincollab.exe |
"{FBFBC0D6-6F4B-49E6-8464-AC49E1485896}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe |
"TCP Query User{973C46D1-9905-49C1-B580-42C9E39A681F}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=6 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"TCP Query User{E39375AC-437A-4540-A4B8-995C69BF9553}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{EF63A997-0FD0-41D3-A4AF-DD5B53DDB32B}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe |
"UDP Query User{855C559A-B2B9-45AD-B35F-9102CED250D0}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{990DDA65-E059-4F98-B41A-FEF619458AB2}C:\program files\web.de\web.de multimessenger\messengr.exe" = protocol=17 | dir=in | app=c:\program files\web.de\web.de multimessenger\messengr.exe |
"UDP Query User{C5542540-1AEB-4872-8DC2-F7D9E71373A9}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6C30E300-8DDA-2F11-0B99-405F7DC83C7A}" = Catalyst Control Center InstallProxy
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8AAE765-CD28-2806-0C3E-56EBB64FA5A5}" = ATI Catalyst Install Manager
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{C1E544E5-EF3C-4103-A57B-3A499FD91031}" = Nero 7 Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe 1.4.124.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3ECED46-91CC-4F44-9917-9A20085D5D26}" = Debugging Tools for Windows
"{F9000000-0001-0000-0000-074957833700}" = ABBYY FineReader 9.0 Professional Edition
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.4 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"FileHippo.com" = FileHippo.com Update Checker
"FreePDF_XP" = FreePDF XP (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"Lexmark 6200 Series" = Lexmark 6200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PC-Lab2000SE" = PC-Lab2000SE
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"VLC media player" = VideoLAN VLC media player 0.8.6i
"WinDSO_FG32" = WinDSO_FG32

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 21.05.2010 00:50:14 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 21.05.2010 01:29:34 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:08:56 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 03:09:00 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 24.05.2010 15:41:13 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 25.05.2010 18:12:39 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:13:47 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:14:59 | Computer Name = ***-PC | Source = EventSystem | ID = 4621
Description =

Error - 26.05.2010 07:15:04 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

Error - 26.05.2010 07:15:11 | Computer Name = ***-PC | Source = System Restore | ID = 8193
Description =

[ Media Center Events ]
Error - 16.04.2008 17:58:30 | Computer Name = ***-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
gescheitert.

[ System Events ]
Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 27.07.2010 02:45:40 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 01:31:27 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 08:04:02 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 28.07.2010 um 14:02:58 unerwartet heruntergefahren.

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 08:05:38 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 28.07.2010 09:59:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7016
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 28.07.2010 10:02:16 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7026
Description =

< End of report >

markusg · 28.07.2010, 19:09

jetzt fehlt otl.txt

know2010 · 28.07.2010, 19:19

Ich kann den OTL Text nicht senden. Er ist zu lang!
Was soll ich tun?

markusg · 28.07.2010, 19:21

naja was tut man wohl wenn etwas zu lang ist? schon mal was von teilen gehört? :-)

markusg · 29.07.2010, 11:46

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

know2010 · 29.07.2010, 14:38

Fertig!!
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-28.03 - Ivonne Hamza 29.07.2010  15:23:11.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.971 [GMT 2:00]
ausgeführt von:: e:\eigene dateien\Documents\ComboFix.exe
FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Ivonne Hamza\AppData\Roaming\Desktopicon
c:\users\Ivonne Hamza\AppData\Roaming\Desktopicon\config.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))
.

2010-07-28 13:06 . 2010-07-28 13:06	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 06:52 . 2009-08-24 11:36	377344	----a-w-	c:\windows\system32\winhttp.dll
2010-07-19 19:59 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-07-19 19:59 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 13:28 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2010-07-29 13:28 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2010-07-29 13:21 . 2009-12-21 09:26	35560	----a-w-	c:\programdata\nvModes.dat
2010-07-29 12:58 . 2007-12-19 20:16	--------	d-----w-	c:\program files\Lx_cats
2010-07-29 06:40 . 2008-03-18 18:05	--------	d-----w-	c:\programdata\Google Updater
2010-07-28 21:08 . 2009-09-17 19:28	--------	d-----w-	c:\program files\CCleaner
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Common Files\Real
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Real
2010-07-22 08:46 . 2010-03-31 14:06	--------	d-----w-	c:\program files\QuickTime
2010-07-22 07:55 . 2010-04-21 18:06	--------	d-----w-	c:\programdata\Lavasoft
2010-07-22 07:55 . 2010-02-27 16:19	--------	d-----w-	c:\program files\Common Files\Apple
2010-07-22 07:40 . 2010-05-24 07:09	--------	d-----w-	c:\programdata\WinZip
2010-07-22 07:37 . 2008-05-05 17:37	--------	d-----w-	c:\program files\Java
2010-07-22 07:37 . 2008-05-05 17:36	--------	d-----w-	c:\program files\Common Files\Java
2010-07-21 16:53 . 2007-12-18 17:54	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-06-27 22:25 . 2010-03-25 22:46	439816	----a-w-	c:\users\Ivonne Hamza\AppData\Roaming\Real\Update\setup3.11\setup.exe
2010-06-24 20:46 . 2010-06-16 14:29	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Apple Computer
2010-06-21 22:18 . 2007-12-17 21:52	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-16 14:28 . 2010-06-16 14:28	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-09 11:17 . 2008-03-18 18:05	--------	d-----w-	c:\program files\Google
2010-06-09 10:50 . 2007-12-17 21:43	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-05-26 17:06 . 2010-06-11 14:14	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-11 14:14	289792	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 08:31	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-04 05:59 . 2010-06-11 14:14	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 05:55 . 2010-06-11 14:14	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-05-04 05:55 . 2010-06-11 14:14	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-05-04 04:31 . 2010-06-11 14:14	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-05-01 14:13 . 2010-06-11 14:13	2037248	----a-w-	c:\windows\system32\win32k.sys
2008-09-20 22:36 . 2008-09-20 21:53	2516	--sha-w-	c:\windows\System32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"LXBUCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2007-02-22 73728]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AsioReg"="CTASIO.DLL" [2007-04-09 79872]
"CTHelper"="CTHELPER.EXE" [2007-04-09 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 19968]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DevconDefaultDB"="c:\windows\system32\READREG" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-18 21:33	125952	----a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileHippo.com]
2010-03-03 13:31	155648	----a-w-	c:\program files\FileHippo.com\UpdateChecker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2008-07-22 21:44	357376	----a-w-	c:\program files\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2007-11-20 17:15	1826816	----a-w-	c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-18 21:33	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot
"NeroFilterCheck"=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):37,04,c1,3c,26,39,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotificationsRef"=dword:00000001

R1 vdrv9000;vdrv9000;c:\windows\system32\DRIVERS\vdrv9000.sys [2007-11-14 113168]
R2 VC9SecS;Virtual CD v9 Management Service;c:\program files\Virtual CD v9\System\vc9secs.exe [x]
R3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [2006-09-20 11392]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-05-22 717296]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-02-04 64288]
S2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;c:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-11-05 566560]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584]

.
Inhalt des "geplante Tasks" Ordners

2010-07-29 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26]

2010-07-29 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.live.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - eBay
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-29 15:28
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
  CTHelper = CTHELPER.EXE? 
  CTxfiHlp = CTXFIHLP.EXE? 

Scanne versteckte Dateien... 


c:\users\IVONNE~1\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv9000]
"ImagePath"="system32\DRIVERS\vdrv9000.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15,
   70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\
"??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5
.
Zeit der Fertigstellung: 2010-07-29  15:30:30
ComboFix-quarantined-files.txt  2010-07-29 13:30

Vor Suchlauf: 10 Verzeichnis(se), 10.615.840.768 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10.567.397.376 Bytes frei

- - End Of File - - 3189A27E00427E6F4E4068521CA034B8

--- --- ---

markusg · 29.07.2010, 14:58

ok versuchen wir mal n manuelles Malwarebytes update
http://data.mbamupdates.com/tools/mbam-rules.exe
und danach nen komplett scan starten

know2010 · 29.07.2010, 16:07

Hallo Markus,

sende Dir besagte Logdatei. Sieht gut aus, denke ich. Allerdings zeigt mir Avira nach wie vor den RKIT an. Danke, dass Du soviel Geduld hast.

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4366

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

29.07.2010 16:51:11
mbam-log-2010-07-29 (16-51-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 261420
Laufzeit: 45 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg · 29.07.2010, 16:12

das sieht gut aus.
avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

28.07.2010, 17:20	#4
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll steht doch schon oben, mit otl :-)

28.07.2010, 19:09	#8
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll jetzt fehlt otl.txt

28.07.2010, 19:21	#10
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll naja was tut man wohl wenn etwas zu lang ist? schon mal was von teilen gehört? :-)

29.07.2010, 11:46	#11
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix

29.07.2010, 14:58	#13
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll ok versuchen wir mal n manuelles Malwarebytes update http://data.mbamupdates.com/tools/mbam-rules.exe und danach nen komplett scan starten

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll

Plagegeister aller Art und deren Bekämpfung: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll