| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.08.2010, 23:05
| #1 |
 |  "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? Hallo, hab wiedermal ein Problem  Ich hab in letzter Zeit immer wieder die Fehlermeldung: "Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden" Danach klick ich auf Problembericht "Nicht senden" und ab dann geht mein Ton vom Rechner nicht mehr, er sagt mir das mein Audiomixer nicht installiert wäre. Manchmal sieht meine Benutzeroberfläche auch aus wie ein altes Windows. Wenn ich Neu starte geht es wieder bis diese Meldung wieder auftaucht, danach dasselbe. Ich habe XP Service Pack 3. Hab schon 3 Tage lang im Internet gesucht und rausgefunden das andere die dasselbe Problem haben/hatten meinten das es an den fehlenden Windows Updates liegt, ich hab aber meiner Meinung nach alle drauf. Außerdem komme ich gar nicht auf die Windows Updates Seite drauf !!! Andere meinten außerdem das sie ihren Rechner schon mehrmals Neu aufgesetzt haben und trotzdem bleibt das Problem. Hab schon alles probiert was andere geschrieben haben aber nichts hat geholfen !!! Jetz zu meiner eigentlichen Frage: Hab ich diesen Win32.Blaster Virus drauf oder sowas in der Art ??? Das haben andere mit dem selben Problem geschrieben, das es dieser Virus sei. Hab Malwarebytes, Ad-Aware und Antivir laufen lassen, die haben erst nix gefunden dann heut doch was aber das Problem besteht weiterhin !!! Ich lade mal den Malwarebytes Log, Ad-Aware Log und nen HiJack This mit hoch. Weiß echt nicht mehr weiter !!! Danke und mit freundlichem Gruß, Thomas Logfile created: 04.08.2010 10:34:46 Ad-Aware version: 8.3.0 Extended engine: 3 Extended engine version: 3.1.2770 User performing scan: Thomas Dembovski *********************** Definitions database information *********************** Lavasoft definition file: 150.39 Genotype definition file version: 2010/08/03 08:42:37 Extended engine definition file: 6683.0 ******************************** Scan results: ********************************* Scan profile name: Vollständiger Scan (ID: full) Objects scanned: 53668 Objects detected: 3 Type Detected ========================== Processes.......: 0 Registry entries: 0 Hostfile entries: 0 Files...........: 0 Folders.........: 0 LSPs............: 0 Cookies.........: 3 Browser hijacks.: 0 MRU objects.....: 0 Removed items: Description: *ad.yieldmanager* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409172 Family ID: 0 Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0 Description: *webtrends* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 599640 Family ID: 0 Scan and cleaning complete: Finished correctly after 4039 seconds *********************************** Settings *********************************** Scan profile: ID: full, enabled:1, value: Vollständiger Scan ID: folderstoscan, enabled:1, value: C:\,D:\ ID: useantivirus, enabled:1, value: true ID: sections, enabled:1 ID: scancriticalareas, enabled:1, value: true ID: scanrunningapps, enabled:1, value: true ID: scanregistry, enabled:1, value: true ID: scanlsp, enabled:1, value: true ID: scanads, enabled:1, value: true ID: scanhostsfile, enabled:1, value: true ID: scanmru, enabled:1, value: true ID: scanbrowserhijacks, enabled:1, value: true ID: scantrackingcookies, enabled:1, value: true ID: closebrowsers, enabled:1, value: false ID: filescanningoptions, enabled:1 ID: archives, enabled:1, value: true ID: onlyexecutables, enabled:1, value: false ID: skiplargerthan, enabled:1, value: 20480 ID: scanrootkits, enabled:1, value: true ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict ID: usespywareheuristics, enabled:1, value: true Scan global: ID: global, enabled:1 ID: addtocontextmenu, enabled:1, value: true ID: playsoundoninfection, enabled:1, value: false ID: soundfile, enabled:0, value: N/A Scheduled scan settings: <Empty> Update settings: ID: updates, enabled:1 ID: launchthreatworksafterscan, enabled:1, value: silently, domain: normal,off,silently ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall ID: schedules, enabled:1, value: true ID: updatedaily1, enabled:1, value: Daily 1 ID: time, enabled:1, value: Tue Aug 03 11:16:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily2, enabled:1, value: Daily 2 ID: time, enabled:1, value: Tue Aug 03 17:16:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily3, enabled:1, value: Daily 3 ID: time, enabled:1, value: Tue Aug 03 23:16:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily4, enabled:1, value: Daily 4 ID: time, enabled:1, value: Tue Aug 03 05:16:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updateweekly1, enabled:1, value: Weekly ID: time, enabled:1, value: Tue Aug 03 11:16:00 2010 ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: true ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: true ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false Appearance settings: ID: appearance, enabled:1 ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource ID: showtrayicon, enabled:1, value: true ID: autoentertainmentmode, enabled:1, value: false ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language Realtime protection settings: ID: realtime, enabled:1 ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant ID: layers, enabled:1 ID: useantivirus, enabled:1, value: true ID: usespywareheuristics, enabled:1, value: false ID: modules, enabled:1 ID: processprotection, enabled:1, value: true ID: onaccessprotection, enabled:1, value: false ID: registryprotection, enabled:1, value: true ID: networkprotection, enabled:1, value: true ****************************** System information ****************************** Computer name: THOMASDEMBOVSKI Processor name: AMD Athlon(tm) XP 2400+ Processor identifier: x86 Family 6 Model 8 Stepping 1 Processor speed: ~2004MHZ Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 2049, number of processors 1, processor features: [MMX,SSE,3DNow] Physical memory available: 60919808 bytes Physical memory total: 469221376 bytes Virtual memory available: 1817444352 bytes Virtual memory total: 2147352576 bytes Memory load: 87% Microsoft Windows XP Home Edition Service Pack 3 (build 2600) Windows startup mode: Running processes: PID: 336 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 428 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 476 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 524 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 536 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 712 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 764 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 924 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 1012 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 1276 name: C:\WINDOWS\Explorer.EXE owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1384 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1436 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1516 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 1748 name: C:\WINDOWS\system32\RUNDLL32.EXE owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1756 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1836 name: C:\Programme\DivX\DivX Update\DivXUpdate.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1856 name: C:\WINDOWS\System32\M-AudioTaskBarIcon.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1876 name: C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1884 name: C:\Programme\Microsoft ActiveSync\wcescomm.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1928 name: C:\Programme\Lexmark 2600 Series\lxdnMsdMon.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 196 name: C:\PROGRA~1\MICROS~2\rapimgr.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 1204 name: C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1236 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 660 name: C:\Programme\FRITZ!DSL\IGDCTRL.EXE owner: SYSTEM domain: NT-AUTORITÄT PID: 1592 name: C:\WINDOWS\system32\lxdncoms.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1732 name: C:\WINDOWS\system32\nvsvc32.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2116 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2324 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2736 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3012 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 3788 name: C:\WINDOWS\system32\wuauclt.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI PID: 208 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3464 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3636 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2316 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: Thomas Dembovski domain: THOMASDEMBOVSKI Startup items: Name: IMJPMIG8.1 imagepath: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 Name: PHIME2002ASync imagepath: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC Name: PHIME2002A imagepath: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName Name: NvCplDaemon imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup Name: nwiz imagepath: nwiz.exe /install Name: NvMediaCenter imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit Name: avgnt imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min Name: QuickFinder Scheduler imagepath: "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE" Name: NeroCheck imagepath: C:\WINDOWS\system32\\NeroCheck.exe Name: lxdnmon.exe imagepath: "C:\Programme\Lexmark 2600 Series\lxdnmon.exe" Name: lxdnamon imagepath: "C:\Programme\Lexmark 2600 Series\lxdnamon.exe" Name: FaxCenterServer imagepath: "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s Name: Adobe Reader Speed Launcher imagepath: "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" Name: Adobe ARM imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" Name: QuickTime Task imagepath: "C:\Programme\QuickTime\qttask.exe" -atboottime Name: DivXUpdate imagepath: "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW Name: M-Audio Taskbar Icon imagepath: C:\WINDOWS\System32\M-AudioTaskBarIcon.exe Name: NVMixerTray imagepath: "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1} imagepath: Browseui preloader Name: {8C7461EF-2B13-11d2-BE35-3078302C2030} imagepath: Component Categories cache daemon Name: PostBootReminder imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9} Name: CDBurn imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9} Name: WebCheck imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED} Name: SysTray imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153} Name: imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Name: imagepath: C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini Bootexecute items: Name: imagepath: autocheck autochk * Name: imagepath: lsdelete Running services: Name: AAV UpdateService displayname: AAV UpdateService Name: Alerter displayname: Warndienst Name: ALG displayname: Gatewaydienst auf Anwendungsebene Name: AntiVirSchedulerService displayname: Avira AntiVir Planer Name: AntiVirService displayname: Avira AntiVir Guard Name: AVM IGD CTRL Service displayname: AVM IGD CTRL Service Name: BITS displayname: Intelligenter Hintergrundübertragungsdienst Name: DcomLaunch displayname: DCOM-Server-Prozessstart Name: Dnscache displayname: DNS-Client Name: Eventlog displayname: Ereignisprotokoll Name: EventSystem displayname: COM+-Ereignissystem Name: helpsvc displayname: Hilfe und Support Name: Lavasoft Ad-Aware Service displayname: Lavasoft Ad-Aware Service Name: LmHosts displayname: TCP/IP-NetBIOS-Hilfsprogramm Name: lxdn_device displayname: lxdn_device Name: Nla displayname: NLA (Network Location Awareness) Name: NVSvc displayname: NVIDIA Display Driver Service Name: PlugPlay displayname: Plug & Play Name: PolicyAgent displayname: IPSEC-Dienste Name: ProtectedStorage displayname: Geschützter Speicher Name: RasMan displayname: RAS-Verbindungsverwaltung Name: RpcSs displayname: Remoteprozeduraufruf (RPC) Name: SamSs displayname: Sicherheitskontenverwaltung Name: Schedule displayname: Taskplaner Name: SENS displayname: Systemereignisbenachrichtigung Name: Spooler displayname: Druckwarteschlange Name: stisvc displayname: Windows-Bilderfassung (WIA) Name: TapiSrv displayname: Telefonie Name: TermService displayname: Terminaldienste Name: Themes displayname: Designs Name: UxTuneUp displayname: TuneUp Designerweiterung Name: winmgmt displayname: Windows-Verwaltungsinstrumentation Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4387 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.08.2010 10:04:32 mbam-log-2010-08-04 (10-04-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 134281 Laufzeit: 2 Stunde(n), 7 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\extensions.exe (Spyware.SpyEyes) -> Delete on reboot. Infizierte Dateien: C:\extensions.exe\cleansweepupd.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully. C:\extensions.exe\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:52:26, on 04.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\WINDOWS\System32\M-AudioTaskBarIcon.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Lexmark 2600 Series\lxdnMsdMon.exe C:\PROGRA~1\MICROS~2\rapimgr.exe C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\lxdncoms.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe" O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe O23 - Service: lxdn_device - - C:\WINDOWS\system32\lxdncoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7774 bytes |
|
04.08.2010, 23:16
| #2 |
| /// Malwareteam   | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
|
05.08.2010, 00:26
| #3 |
| | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? So, hab hier die Logfiles:
__________________OTL: Code:
ATTFilter OTL logfile created on: 04.08.2010 18:31:37 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 447,00 Mb Total Physical Memory | 200,00 Mb Available Physical Memory | 45,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): C:\pagefile.sys 1024 1024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 32,00 Gb Total Space | 22,95 Gb Free Space | 71,72% Space Free | Partition Type: NTFS Drive D: | 42,55 Gb Total Space | 4,28 Gb Free Space | 10,06% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: *** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () PRC - C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Lexmark 2600 Series\lxdnmsdmon.exe () PRC - C:\WINDOWS\system32\lxdncoms.exe ( ) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) PRC - C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe (NVIDIA Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH) SRV - (lxdn_device) -- C:\WINDOWS\System32\lxdncoms.exe ( ) SRV - (lxdnCATSCustConnectService) -- C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe () SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin) ========== Driver Services (SafeList) ========== DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\System32\drivers\ALCXWDM.SYS File not found DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (MAUSBML) Service for M-Audio Conectiv (WDM) -- C:\WINDOWS\system32\drivers\mausbcv.sys (Avid Technology, Inc.) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWBS2) -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (XE103Sp50) -- C:\WINDOWS\system32\drivers\XE103Sp50.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation) DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation) DRV - (NETFWDSL) -- C:\WINDOWS\system32\drivers\NETFWDSL.SYS (AVM Berlin) DRV - (NETDSL) -- C:\WINDOWS\system32\drivers\netdsl.sys (Microsoft Corporation) DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation) DRV - (nv_agp) -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation) DRV - (NVENET) -- C:\WINDOWS\system32\drivers\NVENET.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2010.08.03 13:10:16 | 000,000,736 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - File not found O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe () O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [lxdnamon] C:\Programme\Lexmark 2600 Series\lxdnamon.exe () O4 - HKLM..\Run: [lxdnmon.exe] C:\Programme\Lexmark 2600 Series\lxdnmon.exe () O4 - HKLM..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.) O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [QuickFinder Scheduler] C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE (Novell, Inc., c/o Corel Corporation Limited) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - Reg Error: Key error. File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.11 08:49:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{8cdb48e6-632d-11df-a72a-000c764b33d9}\Shell - "" = AutoRun O33 - MountPoints2\{8cdb48e6-632d-11df-a72a-000c764b33d9}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.04 18:29:48 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.08.04 17:23:49 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.08.04 11:52:08 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.08.03 18:12:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ElevatedDiagnostics [2010.08.03 18:10:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\windowspowershell [2010.08.03 13:10:34 | 000,000,000 | ---D | C] -- C:\ERDNT [2010.08.03 11:16:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE [2010.08.03 11:16:26 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.03 10:48:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software [2010.08.03 10:47:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft [2010.08.03 10:11:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.08.02 03:10:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.08.02 02:45:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.07.29 08:48:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.27 17:45:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DVDVideoSoft [2010.07.27 17:44:52 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft [2010.07.26 21:03:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\TubeBox! [2010.07.26 21:02:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TubeBox [2010.07.26 21:02:14 | 000,000,000 | ---D | C] -- C:\Programme\Jens Lorek [2010.07.26 09:56:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\PLANING [2010.07.26 09:56:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\Frigate True Type [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\OpenType [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\DIGITALIS [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\Adobe Type 1 [2010.07.25 19:05:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\NVIDIA Shared [2010.07.25 19:05:26 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation [2010.07.25 18:37:33 | 000,176,128 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvumpu.exe [2010.07.25 18:34:50 | 000,176,128 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvuaudio.exe [2010.07.25 18:17:48 | 000,000,000 | ---D | C] -- C:\Programme\Lavalys [2010.07.23 09:13:34 | 000,356,864 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\M-AudioTaskBarIcon.exe [2010.07.23 09:13:34 | 000,244,224 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\M-AudioConectivControlPanelApplet.cpl [2010.07.23 09:13:34 | 000,131,712 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\drivers\mausbcv.sys [2010.07.23 09:13:33 | 002,424,084 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\madiousb.dll [2010.07.23 09:13:33 | 000,021,504 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\mausbasio.dll [2010.07.23 09:13:33 | 000,016,512 | ---- | C] (M-Audio) -- C:\WINDOWS\System32\madfu.sys [2010.07.23 09:13:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield [2010.07.21 17:05:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\M-Audio [2010.07.21 17:04:42 | 000,060,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\USBAUDIO.sys [2010.07.21 17:04:42 | 000,060,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbaudio.sys [2010.07.21 17:02:29 | 000,368,640 | ---- | C] (Propellerhead Software AB) -- C:\WINDOWS\System32\ReWire.dll [2010.07.21 17:02:28 | 000,000,000 | ---D | C] -- C:\Programme\M-Audio [2010.07.15 08:28:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.10 08:33:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla [2010.07.07 09:10:48 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5 [2010.03.04 19:41:37 | 000,438,272 | ---- | C] ( ) -- C:\WINDOWS\System32\LXDNhcp.dll [2010.03.04 19:41:37 | 000,364,544 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdninpa.dll [2010.03.04 19:41:36 | 001,101,824 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnserv.dll [2010.03.04 19:41:36 | 000,843,776 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnusb1.dll [2010.03.04 19:41:36 | 000,339,968 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdniesc.dll [2010.03.04 19:41:35 | 000,647,168 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnpmui.dll [2010.03.04 19:41:35 | 000,569,344 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnlmpm.dll [2010.03.04 19:41:35 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnprox.dll [2010.03.04 19:41:34 | 000,663,552 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdnhbn3.dll [2010.03.04 19:41:32 | 000,851,968 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdncomc.dll [2010.03.04 19:41:32 | 000,376,832 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdncomm.dll [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.04 18:29:55 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.08.04 17:56:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.04 17:27:55 | 000,088,566 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.08.04 17:27:25 | 000,000,514 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2010.08.04 17:27:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.04 17:27:11 | 469,291,008 | -HS- | M] () -- C:\hiberfil.sys [2010.08.04 17:26:19 | 004,456,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.08.04 17:26:19 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.08.04 12:52:59 | 004,240,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.04 10:22:20 | 000,000,211 | RHS- | M] () -- C:\boot.ini [2010.08.04 06:05:37 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.08.03 18:54:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.03 13:10:16 | 000,000,736 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.03 11:16:26 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.03 10:26:32 | 000,000,507 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.03 10:26:32 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.02 16:00:05 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.08.01 23:57:14 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.01 16:33:08 | 000,237,568 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.27 18:01:03 | 000,496,256 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.07.27 17:44:57 | 000,001,048 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Audio CD to MP3 Converter.lnk [2010.07.26 21:03:05 | 000,173,280 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.07.26 21:02:47 | 000,002,321 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tube Box.lnk [2010.07.25 19:06:21 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.25 19:06:21 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.25 19:06:21 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.25 19:06:21 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.25 19:06:20 | 001,042,054 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.25 18:17:52 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\EVEREST Home Edition.lnk [2010.07.21 17:44:52 | 000,000,080 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\tintsnft.sys [2010.07.21 17:02:32 | 000,000,646 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Torq.lnk [2010.07.15 10:58:06 | 000,361,216 | ---- | M] (TuneUp Software GmbH) -- C:\WINDOWS\System32\TuneUpDefragService.exe [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.04 18:30:41 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\f1gvzoe9.exe [2010.08.04 12:53:34 | 469,291,008 | -HS- | C] () -- C:\hiberfil.sys [2010.08.03 11:17:57 | 000,000,456 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.07.27 17:44:57 | 000,001,048 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Audio CD to MP3 Converter.lnk [2010.07.26 21:02:15 | 000,002,321 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tube Box.lnk [2010.07.25 19:04:36 | 000,004,624 | ---- | C] () -- C:\WINDOWS\System32\nvaudio.nvu [2010.07.25 18:17:52 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\EVEREST Home Edition.lnk [2010.07.21 17:44:52 | 000,000,080 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\tintsnft.sys [2010.07.21 17:02:32 | 000,000,646 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Torq.lnk [2010.03.23 17:23:55 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.03.04 19:46:05 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxdnvs.dll [2010.03.04 19:46:02 | 000,348,160 | ---- | C] () -- C:\WINDOWS\System32\lxdncoin.dll [2010.03.04 19:44:56 | 000,782,336 | ---- | C] () -- C:\WINDOWS\System32\lxdndrs.dll [2010.03.04 19:44:56 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\lxdncaps.dll [2010.03.04 19:44:55 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\lxdncnv4.dll [2010.03.04 19:44:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\LXF3PMON.DLL [2010.03.04 19:44:33 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\LXF3FXPU.DLL [2010.03.04 19:44:13 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\lxf3oem.dll [2010.03.04 19:44:13 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\LXF3PMRC.DLL [2010.03.04 19:41:49 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\lxdnrwrd.ini [2010.03.04 19:41:38 | 000,348,160 | ---- | C] () -- C:\WINDOWS\System32\LXDNinst.dll [2010.03.04 19:41:33 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\lxdngrd.dll [2010.02.14 09:19:39 | 000,000,260 | ---- | C] () -- C:\WINDOWS\System32\BDEMERGE.INI [2010.02.14 09:19:39 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\IniFile1.ini [2010.02.12 21:14:22 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2006.10.22 07:22:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2006.10.22 07:22:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2006.10.22 07:22:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2006.10.22 07:22:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2006.10.22 07:22:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2006.10.22 07:22:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.10.22 07:22:00 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll ========== LOP Check ========== [2010.02.14 10:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2010.02.12 21:13:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.06.17 10:24:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm [2010.03.06 06:49:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2010.04.02 08:02:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Lite [2010.08.03 18:12:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ElevatedDiagnostics [2010.03.04 12:13:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! [2010.03.04 20:03:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lexmark Productivity Studio [2010.07.21 17:05:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\M-Audio [2010.07.19 08:38:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mibeu [2010.04.02 08:01:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Propellerhead Software [2010.07.02 11:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Qosase [2010.07.22 07:18:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Taymul [2010.07.26 21:02:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TubeBox [2010.03.06 06:49:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software [2010.08.04 17:27:25 | 000,000,514 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job [2010.08.04 06:05:37 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 04.08.2010 18:31:37 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
447,00 Mb Total Physical Memory | 200,00 Mb Available Physical Memory | 45,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 32,00 Gb Total Space | 22,95 Gb Free Space | 71,72% Space Free | Partition Type: NTFS
Drive D: | 42,55 Gb Total Space | 4,28 Gb Free Space | 10,06% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found
"C:\Programme\VDOWNLOADER\VDownloader.exe" = C:\Programme\VDOWNLOADER\VDownloader.exe:*:Enabled:VDownloader -- File not found
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
"C:\Programme\FRITZ!DSL\StCenter.exe" = C:\Programme\FRITZ!DSL\StCenter.exe:*:Enabled:FRITZ!DSL Startcenter -- (AVM Berlin)
"C:\Programme\Avira\AntiVir Desktop\avcenter.exe" = C:\Programme\Avira\AntiVir Desktop\avcenter.exe:*:Enabled:AntiVir starten -- (Avira GmbH)
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update -- (AVM Berlin)
"C:\WINDOWS\system32\lxdncoms.exe" = C:\WINDOWS\system32\lxdncoms.exe:*:Enabled:2600 Series Server -- ( )
"C:\Programme\Lexmark 2600 Series\lxdnmon.exe" = C:\Programme\Lexmark 2600 Series\lxdnmon.exe:*:Enabled:Printer Device Monitor -- ()
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdnpswx.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdnpswx.exe:*:Enabled:Printer Status Window Interface -- ()
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdntime.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdntime.exe:*:Enabled:Lexmark Connect Time Executable -- (Lexmark International, Inc.)
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdnjswx.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdnjswx.exe:*:Enabled:Job Status Window Interface -- ()
"C:\Programme\Lexmark 2600 Series\Diagnostics\LXDNdiag.exe" = C:\Programme\Lexmark 2600 Series\Diagnostics\LXDNdiag.exe:*:Enabled: -- ()
"C:\Programme\Lexmark 2600 Series\lxdnlscn.exe" = C:\Programme\Lexmark 2600 Series\lxdnlscn.exe:*:Enabled: -- ()
"C:\Programme\Lexmark 2600 Series\frun.exe" = C:\Programme\Lexmark 2600 Series\frun.exe:*:Enabled:Printing Application -- ()
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{20AB57C7-FED7-4394-8166-A409DEA20253}" = TubeBox!
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36F6C1EA-66E7-4A87-8638-AE7D6715D67B}" = Conectiv
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54F90B55-BEB3-4F0D-8802-228822FA5921}" = WordPerfect Office 11
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5888428E-699C-4E71-BF71-94EE06B497DA}" = TuneUp Utilities 2008
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{98D2FCB4-832A-470D-9E39-58F30CBEF365}" = NETGEAR XET1001 Powerline Encryption Utility
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{AC76BA86-7AD7-1031-7B44-A82000000003}" = Adobe Reader 8.2.3 - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D7A6C517-11F2-419F-B5BB-27772B939698}" = NvMixer
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = FRITZ!Box
"CNXT_MODEM_PCI_HSF" = PCI SoftV92 Modem
"DivX Setup.divx.com" = DivX-Setup
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free Audio CD to MP3 Converter_is1" = Free Audio CD to MP3 Converter version 1.3
"FRITZ!DSL" = AVM FRITZ!DSL
"ie8" = Windows Internet Explorer 8
"InstallShield_{98D2FCB4-832A-470D-9E39-58F30CBEF365}" = NETGEAR XET1001 Powerline Encryption Utility
"Lexmark 2600 Series" = Lexmark 2600 Series
"Lexmark Fax Solutions" = Lexmark Fax-Lösungen
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NVIDIA Drivers" = NVIDIA Drivers
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"Torq_is1" = Torq Torq 1.5.2 (Build 009) - 8 July 2009
"Uninstall_is1" = Uninstall 1.0.0.1
"WinRAR archiver" = WinRAR Archivierer
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 04.08.2010 06:52:10 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 07:08:02 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 07:34:19 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 07:47:55 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 08:00:17 | Computer Name = *** | Source = .NET Runtime Optimization Service | ID = 1111
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
- Service reached limit of transient errors. Will shut down. Last error returned
from Service Manager: 0x800705aa.
Error - 04.08.2010 08:28:25 | Computer Name = *** | Source = Lavasoft Ad-Aware Service | ID = 0
Description =
Error - 04.08.2010 10:09:16 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 10:26:48 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 13:57:50 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 04.08.2010 17:51:58 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
[ System Events ]
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = NetBT | ID = 4311
Description = Initialisierung fehlgeschlagen, da der Treiber nicht erstellt werden
konnte.
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = NetBT | ID = 4311
Description = Initialisierung fehlgeschlagen, da der Treiber nicht erstellt werden
konnte.
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = NetBT | ID = 4311
Description = Initialisierung fehlgeschlagen, da der Treiber nicht erstellt werden
konnte.
Error - 04.08.2010 17:27:25 | Computer Name = *** | Source = NetBT | ID = 4311
Description = Initialisierung fehlgeschlagen, da der Treiber nicht erstellt werden
konnte.
Error - 04.08.2010 17:29:22 | Computer Name = *** | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst lxdnCATSCustConnectService.
Error - 04.08.2010 17:29:22 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdnCATSCustConnectService" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
Error - 04.08.2010 18:11:10 | Computer Name = *** | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie
den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056
Error - 04.08.2010 18:30:41 | Computer Name = *** | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie
den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056
< End of report >
Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-04 19:17:23
Windows 5.1.2600 Service Pack 3
Running: f1gvzoe9.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\kxnyypog.sys
---- System - GMER 1.0.15 ----
SSDT F7BCDC66 ZwCreateKey
SSDT F7BCDC5C ZwCreateThread
SSDT F7BCDC6B ZwDeleteKey
SSDT F7BCDC75 ZwDeleteValueKey
SSDT spxz.sys ZwEnumerateKey [0xF738CDA4]
SSDT spxz.sys ZwEnumerateValueKey [0xF738D132]
SSDT F7BCDC7A ZwLoadKey
SSDT spxz.sys ZwOpenKey [0xF73740C0]
SSDT F7BCDC48 ZwOpenProcess
SSDT F7BCDC4D ZwOpenThread
SSDT spxz.sys ZwQueryKey [0xF738D20A]
SSDT spxz.sys ZwQueryValueKey [0xF738D08A]
SSDT F7BCDC84 ZwReplaceKey
SSDT F7BCDC7F ZwRestoreKey
SSDT F7BCDC70 ZwSetValueKey
SSDT F7BCDC57 ZwTerminateProcess
INT 0x62 ? 842D7BF8
INT 0x63 ? 83FCCF00
INT 0x73 ? 83FCCF00
INT 0x82 ? 842D7BF8
INT 0x83 ? 83FCCF00
---- Kernel code sections - GMER 1.0.15 ----
? spxz.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload ED71C8AC 5 Bytes JMP 83FCC4E0
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xEE569A0C]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xED113360, 0x24BB1D, 0xE8000020]
.text ajh5wua4.SYS ED0C6386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ajh5wua4.SYS ED0C63AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ajh5wua4.SYS ED0C63C4 3 Bytes [00, 80, 02]
.text ajh5wua4.SYS ED0C63C9 1 Byte [30]
.text ajh5wua4.SYS ED0C63C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
.rsrc C:\WINDOWS\system32\DRIVERS\kbdclass.sys entry point in ".rsrc" section [0xED7CAE14]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[2620] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 019E000A
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 842D51F8
Device \Driver\sptd \Device\3268078802 spxz.sys
Device \Driver\usbohci \Device\USBPDO-0 83EF8500
Device \Driver\PCI_PNP1302 \Device\00000045 spxz.sys
Device \Driver\usbohci \Device\USBPDO-1 83EF8500
Device \Driver\usbehci \Device\USBPDO-2 83FD0318
Device \Driver\Ftdisk \Device\HarddiskVolume1 842D91F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 842D91F8
Device \Driver\Cdrom \Device\CdRom0 83E4B500
Device \Driver\Cdrom \Device\CdRom1 83E4B500
Device \Driver\Cdrom \Device\CdRom2 83E4B500
Device \Driver\usbohci \Device\USBFDO-0 83EF8500
Device \Driver\usbohci \Device\USBFDO-1 83EF8500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 83EE5500
Device \Driver\usbehci \Device\USBFDO-2 83FD0318
Device \FileSystem\MRxSmb \Device\LanmanRedirector 83EE5500
Device \Driver\Ftdisk \Device\FtControl 842D91F8
Device \Driver\ajh5wua4 \Device\Scsi\ajh5wua41Port1Path0Target0Lun0 83F0D500
Device \Driver\ajh5wua4 \Device\Scsi\ajh5wua41 83F0D500
Device \FileSystem\Cdfs \Cdfs 83FA9500
Device -> \Driver\nvatabus \Device\Harddisk0\DR0 840FAEC5
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x4A 0x7A 0xE1 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x6D 0x0E 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD1 0xEB 0x01 0x37 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x4A 0x7A 0xE1 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x6D 0x0E 0x38 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD1 0xEB 0x01 0x37 ...
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\DRIVERS\kbdclass.sys suspicious modification
File C:\WINDOWS\system32\drivers\nvatabus.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Geändert von Maschi (05.08.2010 um 01:01 Uhr) |
|
05.08.2010, 11:20
| #4 |
| /// Malwareteam | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ?Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**  
|
|
05.08.2010, 15:40
| #5 |
| | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? So, hier der Compofix Logfile: Code:
ATTFilter ComboFix 10-08-04.05 - *** 05.08.2010 10:27:31.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.150 [GMT -4:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-05 bis 2010-08-05 ))))))))))))))))))))))))))))))
.
2010-08-05 14:09 . 2010-08-05 14:09 -------- d-----w- c:\windows\LastGood
2010-08-04 15:52 . 2010-08-04 15:52 -------- d-----w- c:\programme\Trend Micro
2010-08-03 22:12 . 2010-08-03 22:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ElevatedDiagnostics
2010-08-03 17:10 . 2010-08-03 17:10 -------- d-----w- C:\ERDNT
2010-08-03 15:16 . 2010-08-04 21:23 -------- dc----w- c:\windows\system32\DRVSTORE
2010-08-03 15:16 . 2010-08-03 15:16 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-08-03 14:48 . 2010-08-03 14:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-03 14:47 . 2010-08-04 21:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-02 07:10 . 2010-08-02 07:16 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-07-29 12:48 . 2010-07-29 12:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-07-27 21:44 . 2010-07-27 21:44 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-27 01:02 . 2010-07-27 01:02 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TubeBox
2010-07-27 01:02 . 2010-07-27 01:02 -------- d-----w- c:\programme\Jens Lorek
2010-07-25 23:05 . 2010-07-25 23:05 -------- d-----w- c:\programme\NVIDIA Corporation
2010-07-25 23:05 . 2010-07-25 23:05 -------- d-----w- c:\programme\Gemeinsame Dateien\NVIDIA Shared
2010-07-25 22:37 . 2005-06-03 19:07 176128 ----a-w- c:\windows\system32\nvumpu.exe
2010-07-25 22:34 . 2005-06-03 19:07 176128 ----a-w- c:\windows\system32\nvuaudio.exe
2010-07-25 22:17 . 2010-07-25 22:17 -------- d-----w- c:\programme\Lavalys
2010-07-23 13:13 . 2008-05-15 21:45 356864 ----a-w- c:\windows\system32\M-AudioTaskBarIcon.exe
2010-07-23 13:13 . 2007-09-06 17:19 131712 ----a-w- c:\windows\system32\drivers\mausbcv.sys
2010-07-23 13:13 . 2007-09-06 17:19 21504 ----a-w- c:\windows\system32\mausbasio.dll
2010-07-23 13:13 . 2007-08-28 18:05 16512 ----a-w- c:\windows\system32\madfu.sys
2010-07-23 13:13 . 2007-06-27 12:10 2424084 ----a-w- c:\windows\system32\madiousb.dll
2010-07-23 13:13 . 2010-07-23 13:13 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield
2010-07-21 21:44 . 2010-07-21 21:44 80 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\tintsnft.sys
2010-07-21 21:05 . 2010-07-21 21:05 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\M-Audio
2010-07-21 21:04 . 2008-04-14 04:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2010-07-21 21:04 . 2008-04-14 04:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2010-07-21 21:02 . 2008-11-20 19:48 368640 ----a-w- c:\windows\system32\ReWire.dll
2010-07-21 21:02 . 2010-07-21 21:03 -------- d-----w- c:\programme\M-Audio
2010-07-15 12:28 . 2010-07-15 12:28 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google
2010-07-15 11:02 . 2010-07-15 11:02 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-15 11:02 . 2010-07-15 11:02 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-15 11:01 . 2010-07-15 11:01 84054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-15 11:00 . 2010-07-15 11:00 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-10 12:33 . 2010-07-10 12:33 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-07-07 13:10 . 2010-07-07 13:10 -------- d-----w- c:\programme\AviSynth 2.5
2010-07-07 04:01 . 2010-07-07 04:01 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 13:57 . 2008-04-14 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2010-08-05 13:57 . 2008-04-14 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2010-08-05 13:49 . 2010-04-21 11:17 -------- d-----w- c:\programme\Microsoft ActiveSync
2010-08-05 11:22 . 2010-06-19 04:18 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-08-05 08:32 . 2010-04-05 21:23 -------- d-----w- c:\programme\QuickTime
2010-07-27 21:45 . 2010-02-13 01:22 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-27 01:03 . 2010-02-11 12:53 173280 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-25 23:05 . 2010-02-11 13:35 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-25 23:05 . 2010-02-11 13:11 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-07-22 11:18 . 2010-04-26 14:11 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Taymul
2010-07-19 12:38 . 2010-03-27 01:54 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mibeu
2010-07-15 14:58 . 2010-03-06 10:49 -------- d-----w- c:\programme\TuneUp Utilities 2008
2010-07-15 14:58 . 2010-04-15 15:22 361216 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2010-07-15 11:05 . 2010-06-13 11:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-07-15 11:05 . 2010-06-17 10:54 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-15 11:02 . 2010-06-17 10:48 -------- d-----w- c:\programme\DivX
2010-07-15 10:53 . 2010-06-17 10:54 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-15 10:53 . 2010-06-17 10:54 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-04 21:57 . 2010-02-18 01:36 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2010-07-02 15:16 . 2010-06-18 07:49 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Qosase
2010-06-17 14:24 . 2010-06-17 14:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RoboForm
2010-06-17 10:58 . 2010-03-06 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-17 10:54 . 2010-06-17 10:54 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-06-17 10:54 . 2010-06-17 10:54 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-05-15 11:56 . 2010-05-15 11:56 290816 ------w- c:\windows\Setup1.exe
2010-05-15 11:56 . 2010-05-15 11:56 74752 ----a-w- c:\windows\ST6UNST.EXE
2010-05-08 15:11 . 2010-05-08 15:15 38784 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2006-05-03 09:06 . 2010-02-13 01:21 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2010-02-13 01:21 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2010-02-13 01:21 216064 --sh--r- c:\windows\system32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickFinder Scheduler"="c:\programme\WordPerfect Office 11\Programs\QFSCHD110.EXE" [2003-03-07 77887]
"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"M-Audio Taskbar Icon"="c:\windows\System32\M-AudioTaskBarIcon.exe" [2008-05-15 356864]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [04.03.2010 11:26 11264]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 11:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.02.2010 21:05 108289]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [04.03.2010 11:26 361472]
S3 MAUSBML;Service for M-Audio Conectiv (WDM);c:\windows\system32\drivers\mausbcv.sys [23.07.2010 09:13 131712]
S3 XE103Sp50;XE103Sp50 NDIS Protocol Driver;c:\windows\system32\drivers\XE103Sp50.sys [28.11.2006 16:46 27072]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.02.2010 21:14 691696]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-08-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2010-03-06 21:22]
2010-08-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 10:31
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(1452)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-08-05 10:33:20
ComboFix-quarantined-files.txt 2010-08-05 14:33
Vor Suchlauf: 7 Verzeichnis(se), 24.666.378.240 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 25.328.922.624 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - 6276680D5A6265891888D15962B1B1C9
|
|
06.08.2010, 09:59
| #6 |
| | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? Also die Fehlermeldung ist weg und es läuft alles prima  Ist jetz wirklich alles weg und wenn ja, was war es ???  Aber wirklich großen Dank für deine Hilfe  MfG Thomas |
|
06.08.2010, 19:26
| #7 | |
| /// Malwareteam | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ?Zitat:
Schritt 1 Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer. Vorbereitung
ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 2 Sicherheitsrisiko Adobe Arcrobat Reader Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Die Empfehlung lautet, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader 9.3.x herunter und installiere ihn, achte bei der Installation darauf, Zusatzprogramme und/oder Toolbars abzuwählen. Da der Adobe Acrobat Reader immer häufiger für gezielte Verbreitung von Malware genutzt wird, kannst Du stattdessen auch einen alternativen PDF-Anzeiger zu nutzen, beispielsweise den Foxit PDF Reader. Er ist "schlanker" und benutzt weniger Resourcen. Achte auch hier darauf, bei der Installation Zusatzprogramme und/oder Toolbars abzuwählen. Schritt 3 Erneuter Systemscan mit OTL
Schritt 4 Bitte scanne erneut mit GMER und poste mir das neue Log. |
|
07.08.2010, 09:55
| #8 |
| | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? Also ESET hat 3 Infektionen gefunden, ich hab am Ende allerdings die Kästchen mit "Malware in Quarantäne" etc. ausgelassen weil es net in deiner beschreibung stand, war das richtig die Viren drauf zu lassen ? Für ne andere Auswertung oder so ? So, hier die Logfiles: ESET: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=7ff2970df2c35348bd6e8ccf8be8c336
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-07 12:57:08
# local_time=2010-08-06 08:57:08 (-0500, Eastern Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 100 0 55730070 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=50471
# found=3
# cleaned=3
# scan_time=2666
C:\Qoobox\32788R22FWJFW\kbdclass.sys Win32/Olmarik.ZC trojan (cleaned - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{5599F6B9-698F-4C69-8993-F8A2CF235CB2}\RP4\A0002201.sys Win32/Olmarik.ZC trojan (cleaned - quarantined) 00000000000000000000000000000000 C
H:\$RECYCLE.BIN\S-1-5-21-4010656821-2308309899-4117271029-1000\$RO558IX.inf INF/Autorun.gen trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
Code:
ATTFilter OTL logfile created on: 06.08.2010 23:32:40 - Run 2 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 447,00 Mb Total Physical Memory | 194,00 Mb Available Physical Memory | 43,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 80,00% Paging File free Paging file location(s): C:\pagefile.sys 1024 1024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 32,00 Gb Total Space | 23,10 Gb Free Space | 72,20% Space Free | Partition Type: NTFS Drive D: | 42,55 Gb Total Space | 4,17 Gb Free Space | 9,79% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded Drive H: | 596,17 Gb Total Space | 243,21 Gb Free Space | 40,80% Space Free | Partition Type: NTFS I: Drive not present or media not loaded Computer Name: THOMASDEMBOVSKI Current User Name: Thomas Dembovski Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\OTL.exe (OldTimer Tools) PRC - C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () PRC - C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) PRC - C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe (NVIDIA Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH) SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin) ========== Driver Services (SafeList) ========== DRV - (catchme) -- C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\catchme.sys File not found DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\System32\drivers\ALCXWDM.SYS File not found DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (MAUSBML) Service for M-Audio Conectiv (WDM) -- C:\WINDOWS\system32\drivers\mausbcv.sys (Avid Technology, Inc.) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWBS2) -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (XE103Sp50) -- C:\WINDOWS\system32\drivers\XE103Sp50.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation) DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation) DRV - (NETFWDSL) -- C:\WINDOWS\system32\drivers\NETFWDSL.SYS (AVM Berlin) DRV - (NETDSL) -- C:\WINDOWS\system32\drivers\netdsl.sys (Microsoft Corporation) DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation) DRV - (nv_agp) -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation) DRV - (NVENET) -- C:\WINDOWS\system32\drivers\NVENET.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2010.08.03 13:10:16 | 000,000,736 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found. O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.) O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [QuickFinder Scheduler] C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE (Novell, Inc., c/o Corel Corporation Limited) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.11 08:49:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.06 23:30:57 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\OTL.exe [2010.08.06 20:00:15 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2010.08.06 19:42:52 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.08.05 12:44:35 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\IECompatCache [2010.08.05 10:52:26 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010.08.05 10:33:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp [2010.08.05 10:26:23 | 000,000,000 | RHSD | C] -- C:\cmdcons [2010.08.05 08:08:38 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.08.05 08:08:37 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.08.05 08:08:37 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.08.05 08:08:37 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.08.05 08:07:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.05 08:05:17 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.08.04 11:52:08 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.08.03 18:12:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\ElevatedDiagnostics [2010.08.03 18:10:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\windowspowershell [2010.08.03 11:16:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE [2010.08.03 11:16:26 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.03 10:48:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software [2010.08.03 10:47:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft [2010.08.03 10:11:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.08.02 03:10:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.08.02 02:45:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.07.29 08:48:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.27 17:45:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Eigene Dateien\DVDVideoSoft [2010.07.27 17:44:52 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft [2010.07.26 21:03:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Eigene Dateien\TubeBox! [2010.07.26 21:02:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\TubeBox [2010.07.26 21:02:14 | 000,000,000 | ---D | C] -- C:\Programme\Jens Lorek [2010.07.26 09:56:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\PLANING [2010.07.26 09:56:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\Frigate True Type [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\OpenType [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\DIGITALIS [2010.07.26 09:56:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Fonts\Adobe Type 1 [2010.07.25 19:05:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\NVIDIA Shared [2010.07.25 19:05:26 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation [2010.07.25 18:37:33 | 000,176,128 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvumpu.exe [2010.07.25 18:34:50 | 000,176,128 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvuaudio.exe [2010.07.25 18:17:48 | 000,000,000 | ---D | C] -- C:\Programme\Lavalys [2010.07.23 09:13:34 | 000,356,864 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\M-AudioTaskBarIcon.exe [2010.07.23 09:13:34 | 000,244,224 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\M-AudioConectivControlPanelApplet.cpl [2010.07.23 09:13:34 | 000,131,712 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\drivers\mausbcv.sys [2010.07.23 09:13:33 | 002,424,084 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\madiousb.dll [2010.07.23 09:13:33 | 000,021,504 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\mausbasio.dll [2010.07.23 09:13:33 | 000,016,512 | ---- | C] (M-Audio) -- C:\WINDOWS\System32\madfu.sys [2010.07.23 09:13:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\InstallShield [2010.07.21 17:05:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\M-Audio [2010.07.21 17:04:42 | 000,060,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\USBAUDIO.sys [2010.07.21 17:04:42 | 000,060,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbaudio.sys [2010.07.21 17:02:29 | 000,368,640 | ---- | C] (Propellerhead Software AB) -- C:\WINDOWS\System32\ReWire.dll [2010.07.21 17:02:28 | 000,000,000 | ---D | C] -- C:\Programme\M-Audio [2010.07.15 08:28:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.10 08:33:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\Mozilla [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.06 23:00:00 | 000,000,514 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2010.08.06 19:46:53 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.06 06:22:39 | 000,088,566 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.08.06 06:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.06 06:22:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.06 06:22:18 | 469,291,008 | -HS- | M] () -- C:\hiberfil.sys [2010.08.06 06:21:26 | 004,456,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\NTUSER.DAT [2010.08.06 06:21:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\ntuser.ini [2010.08.06 06:19:13 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.08.06 06:16:17 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.06 06:16:17 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.06 06:16:17 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.06 06:16:17 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.06 06:16:16 | 000,996,254 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.05 10:31:40 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.05 10:26:28 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010.08.05 09:50:28 | 005,893,274 | -H-- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.05 07:22:42 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.05 05:29:59 | 000,000,507 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.05 05:29:59 | 000,000,211 | ---- | M] () -- C:\Boot.bak [2010.08.04 18:29:55 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\OTL.exe [2010.08.03 13:10:16 | 000,000,736 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.03 11:16:26 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys [2010.08.02 16:00:05 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.08.01 16:33:08 | 000,237,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.27 18:01:03 | 000,496,256 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.07.27 17:44:57 | 000,001,048 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\Audio CD to MP3 Converter.lnk [2010.07.27 02:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll [2010.07.26 21:03:05 | 000,173,280 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.07.26 21:02:47 | 000,002,321 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tube Box.lnk [2010.07.25 18:17:52 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\EVEREST Home Edition.lnk [2010.07.21 17:44:52 | 000,000,080 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\tintsnft.sys [2010.07.21 17:02:32 | 000,000,646 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\Torq.lnk [2010.07.15 10:58:06 | 000,361,216 | ---- | M] (TuneUp Software GmbH) -- C:\WINDOWS\System32\TuneUpDefragService.exe [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.06 23:31:00 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\f1gvzoe9.exe [2010.08.05 10:26:28 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2010.08.05 10:26:24 | 000,262,448 | ---- | C] () -- C:\cmldr [2010.08.05 08:08:38 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.08.05 08:08:38 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.08.05 08:08:37 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.08.05 08:08:37 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.08.05 08:08:37 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.08.04 12:53:34 | 469,291,008 | -HS- | C] () -- C:\hiberfil.sys [2010.07.27 17:44:57 | 000,001,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\Audio CD to MP3 Converter.lnk [2010.07.26 21:02:15 | 000,002,321 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tube Box.lnk [2010.07.25 19:04:36 | 000,004,624 | ---- | C] () -- C:\WINDOWS\System32\nvaudio.nvu [2010.07.25 18:17:52 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\EVEREST Home Edition.lnk [2010.07.21 17:44:52 | 000,000,080 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\tintsnft.sys [2010.07.21 17:02:32 | 000,000,646 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop\Torq.lnk [2010.03.23 17:23:55 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.03.04 19:44:13 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\LXF3PMRC.DLL [2010.02.14 09:19:39 | 000,000,260 | ---- | C] () -- C:\WINDOWS\System32\BDEMERGE.INI [2010.02.14 09:19:39 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\IniFile1.ini [2010.02.12 21:14:22 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2006.10.22 07:22:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2006.10.22 07:22:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2006.10.22 07:22:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2006.10.22 07:22:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2006.10.22 07:22:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2006.10.22 07:22:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.10.22 07:22:00 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll ========== LOP Check ========== [2010.02.14 10:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2010.02.12 21:13:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.06.17 10:24:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm [2010.03.06 06:49:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2010.04.02 08:02:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\DAEMON Tools Lite [2010.08.03 18:12:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\ElevatedDiagnostics [2010.03.04 12:13:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\FRITZ! [2010.03.04 20:03:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\Lexmark Productivity Studio [2010.07.21 17:05:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\M-Audio [2010.07.19 08:38:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\Mibeu [2010.07.02 11:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\Qosase [2010.07.22 07:18:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\Taymul [2010.07.26 21:02:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\TubeBox [2010.03.06 06:49:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas Dembovski\Anwendungsdaten\TuneUp Software [2010.08.06 23:00:00 | 000,000,514 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 06.08.2010 23:32:40 - Run 2
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Thomas Dembovski\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
447,00 Mb Total Physical Memory | 194,00 Mb Available Physical Memory | 43,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 32,00 Gb Total Space | 23,10 Gb Free Space | 72,20% Space Free | Partition Type: NTFS
Drive D: | 42,55 Gb Total Space | 4,17 Gb Free Space | 9,79% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 596,17 Gb Total Space | 243,21 Gb Free Space | 40,80% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Computer Name: THOMASDEMBOVSKI
Current User Name: Thomas Dembovski
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
"C:\Programme\FRITZ!DSL\StCenter.exe" = C:\Programme\FRITZ!DSL\StCenter.exe:*:Enabled:FRITZ!DSL Startcenter -- (AVM Berlin)
"C:\Programme\Avira\AntiVir Desktop\avcenter.exe" = C:\Programme\Avira\AntiVir Desktop\avcenter.exe:*:Enabled:AntiVir starten -- (Avira GmbH)
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update -- (AVM Berlin)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{20AB57C7-FED7-4394-8166-A409DEA20253}" = TubeBox!
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36F6C1EA-66E7-4A87-8638-AE7D6715D67B}" = Conectiv
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54F90B55-BEB3-4F0D-8802-228822FA5921}" = WordPerfect Office 11
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5888428E-699C-4E71-BF71-94EE06B497DA}" = TuneUp Utilities 2008
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{98D2FCB4-832A-470D-9E39-58F30CBEF365}" = NETGEAR XET1001 Powerline Encryption Utility
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D7A6C517-11F2-419F-B5BB-27772B939698}" = NvMixer
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = FRITZ!Box
"CNXT_MODEM_PCI_HSF" = PCI SoftV92 Modem
"DivX Setup.divx.com" = DivX-Setup
"ESET Online Scanner" = ESET Online Scanner v3
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free Audio CD to MP3 Converter_is1" = Free Audio CD to MP3 Converter version 1.3
"FRITZ!DSL" = AVM FRITZ!DSL
"ie8" = Windows Internet Explorer 8
"InstallShield_{98D2FCB4-832A-470D-9E39-58F30CBEF365}" = NETGEAR XET1001 Powerline Encryption Utility
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NVIDIA Drivers" = NVIDIA Drivers
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"Torq_is1" = Torq Torq 1.5.2 (Build 009) - 8 July 2009
"Uninstall_is1" = Uninstall 1.0.0.1
"WinRAR archiver" = WinRAR Archivierer
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 05.08.2010 05:33:59 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 06:15:19 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 06:56:38 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 07:02:25 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 07:08:36 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 07:51:29 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 08:10:09 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a3934.
Error - 05.08.2010 12:43:09 | Computer Name = THOMASDEMBOVSKI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung divxupdate.exe, Version 1.0.1.10, fehlgeschlagenes
Modul msvcp80.dll, Version 8.0.50727.4053, Fehleradresse 0x000100b5.
Error - 06.08.2010 20:00:12 | Computer Name = THOMASDEMBOVSKI | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 06.08.2010 20:00:12 | Computer Name = THOMASDEMBOVSKI | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
[ System Events ]
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:13 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 06.08.2010 19:44:14 | Computer Name = THOMASDEMBOVSKI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
< End of report >
Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-07 04:45:19
Windows 5.1.2600 Service Pack 3
Running: f1gvzoe9.exe; Driver: C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\kxnyypog.sys
---- System - GMER 1.0.15 ----
SSDT F7B6A5D6 ZwCreateKey
SSDT F7B6A5CC ZwCreateThread
SSDT F7B6A5DB ZwDeleteKey
SSDT F7B6A5E5 ZwDeleteValueKey
SSDT splh.sys ZwEnumerateKey [0xF738CDA4]
SSDT splh.sys ZwEnumerateValueKey [0xF738D132]
SSDT F7B6A5EA ZwLoadKey
SSDT splh.sys ZwOpenKey [0xF73740C0]
SSDT F7B6A5B8 ZwOpenProcess
SSDT F7B6A5BD ZwOpenThread
SSDT splh.sys ZwQueryKey [0xF738D20A]
SSDT splh.sys ZwQueryValueKey [0xF738D08A]
SSDT F7B6A5F4 ZwReplaceKey
SSDT F7B6A5EF ZwRestoreKey
SSDT F7B6A5E0 ZwSetValueKey
SSDT F7B6A5C7 ZwTerminateProcess
INT 0x62 ? 842D7BF8
INT 0x63 ? 83FEEF00
INT 0x73 ? 83FEEF00
INT 0x82 ? 842D7BF8
INT 0x83 ? 83FEEF00
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 1D4 804E2840 4 Bytes JMP B8F7B6A5
? splh.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload EDF538AC 5 Bytes JMP 83FEE4E0
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xEEB19A0C]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xED94A360, 0x24BB1D, 0xE8000020]
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 842D51F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{DF0A31BE-A20F-4A28-8987-00920D9D5756} 83F2F500
Device \Driver\usbohci \Device\USBPDO-0 83F27500
Device \Driver\usbohci \Device\USBPDO-1 83F27500
Device \Driver\NetBT \Device\NetBT_Tcpip_{DCC09525-D256-4AFB-A6D7-9A1D8127248D} 83F2F500
Device \Driver\usbehci \Device\USBPDO-2 83F9B500
Device \Driver\Ftdisk \Device\HarddiskVolume1 842D91F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 842D91F8
Device \Driver\Cdrom \Device\CdRom0 83F17500
Device \Driver\Ftdisk \Device\HarddiskVolume3 842D91F8
Device \Driver\Cdrom \Device\CdRom1 83F17500
Device \Driver\NetBT \Device\NetBt_Wins_Export 83F2F500
Device \Driver\NetBT \Device\NetbiosSmb 83F2F500
Device \Driver\usbohci \Device\USBFDO-0 83F27500
Device \Driver\USBSTOR \Device\0000006d 83F36500
Device \Driver\usbohci \Device\USBFDO-1 83F27500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 83F33500
Device \Driver\USBSTOR \Device\0000006e 83F36500
Device \Driver\usbehci \Device\USBFDO-2 83F9B500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 83F33500
Device \Driver\Ftdisk \Device\FtControl 842D91F8
Device \FileSystem\Cdfs \Cdfs 83F35500
---- Processes - GMER 1.0.15 ----
Library C:\Programme\Gemeinsame (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1240] 0x02E20000
Library C:\Programme\Gemeinsame (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1240] 0x02B70000
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0x37 0x0E 0xB1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x6D 0x0E 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD1 0xEB 0x01 0x37 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0x37 0x0E 0xB1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x6D 0x0E 0x38 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD1 0xEB 0x01 0x37 ...
---- EOF - GMER 1.0.15 ----
|
|
07.08.2010, 10:56
| #9 |
| /// Malwareteam | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? LAss ESET nochmals Scannen und die Daten dann in Quarantäne verschieben. Es sind jedoch bereits entfernte aber in Backups befindliche Dateien  Ich muss heute weg und werde mich dann morgen wieder melden. |
|
17.08.2010, 12:14
| #10 |
| /// Malwareteam | "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich. Jeder andere möge bitte einen eigenen Thread starten. |
|
| Themen zu "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ? |
| ad-aware, ad.yieldmanager, amd athlon, antivir, avira, awareness, bho, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, desktop, dsl, frage, generic host, generic host process, helper, hijack, hijack this, hijackthis, home, igdctrl.exe, internet, launch, neu aufgesetzt, nicht installiert, plug-in, problem, rundll, scan, sched.exe, senden, software, spyware.spyeyes, svchost.exe, trojan, updates, virus, win32, win32.blaster, windows updates, windows xp, wuauclt.exe |
drücken.
Button.
Linear-Darstellung
