|
Log-Analyse und Auswertung: System hackt beim ausführen von Programmen - Antivir meldet VirusfundWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.08.2010, 12:17 | #1 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Hallo, seit kurzem arbeitet mein Notebook sehr sehr langsam und stockt bei jeder zu startenden Anwendung. Habe schon versucht die Geschwindigkeit zu optimieren mit dem Thread aus eurem FAQ. Leider hat dies keinen Erfolg gebracht. Zudem sagt Antivir das eine infizierte Datei gefunden wurde und gelöscht wurde. Trotzdem ist das System nicht wieder "flüssig" am laufen. Hier einmal mein Log vielleicht findet ihr ja etwas: HiJackThis Logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 10:10:25, on 12.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17080) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\EzButton\EzButton.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.clipper-djs.org/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172079893687 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe -- End of file - 5874 bytes Malwarebytes Logfile Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4420 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 12.08.2010 12:30:28 mbam-log-2010-08-12 (12-30-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|) Durchsuchte Objekte: 187624 Laufzeit: 1 Stunde(n), 29 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) AntiVir Logfile Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 12. August 2010 11:19 Es wird nach 2709040 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : Mustermann Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 12.08.2010 09:04:59 AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.08.2010 09:04:59 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:04:58 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 09:04:58 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 09:04:58 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 09:04:58 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 09:04:58 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 09:04:58 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 09:04:58 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 09:04:58 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 09:04:58 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 09:04:58 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 09:04:58 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 09:04:58 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 09:04:58 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 09:04:58 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 09:04:59 VBASE020.VDF : 7.10.10.131 2048 Bytes 10.08.2010 09:04:59 VBASE021.VDF : 7.10.10.132 2048 Bytes 10.08.2010 09:04:59 VBASE022.VDF : 7.10.10.133 2048 Bytes 10.08.2010 09:04:59 VBASE023.VDF : 7.10.10.134 2048 Bytes 10.08.2010 09:04:59 VBASE024.VDF : 7.10.10.135 2048 Bytes 10.08.2010 09:04:59 VBASE025.VDF : 7.10.10.136 2048 Bytes 10.08.2010 09:04:59 VBASE026.VDF : 7.10.10.137 2048 Bytes 10.08.2010 09:04:59 VBASE027.VDF : 7.10.10.138 2048 Bytes 10.08.2010 09:04:59 VBASE028.VDF : 7.10.10.139 2048 Bytes 10.08.2010 09:04:59 VBASE029.VDF : 7.10.10.140 2048 Bytes 10.08.2010 09:04:59 VBASE030.VDF : 7.10.10.141 2048 Bytes 10.08.2010 09:04:59 VBASE031.VDF : 7.10.10.153 78336 Bytes 12.08.2010 09:04:59 Engineversion : 8.2.4.34 AEVDF.DLL : 8.1.2.1 106868 Bytes 12.08.2010 09:04:59 AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 12.08.2010 09:04:59 AESCN.DLL : 8.1.6.1 127347 Bytes 12.08.2010 09:04:59 AESBX.DLL : 8.1.3.1 254324 Bytes 12.08.2010 09:04:59 AERDL.DLL : 8.1.8.2 614772 Bytes 12.08.2010 09:04:59 AEPACK.DLL : 8.2.3.5 471412 Bytes 12.08.2010 09:04:59 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 12.08.2010 09:04:59 AEHEUR.DLL : 8.1.2.11 2834805 Bytes 12.08.2010 09:04:59 AEHELP.DLL : 8.1.13.2 242039 Bytes 12.08.2010 09:04:59 AEGEN.DLL : 8.1.3.19 393587 Bytes 12.08.2010 09:04:59 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.08.2010 09:04:59 AECORE.DLL : 8.1.16.2 192887 Bytes 12.08.2010 09:04:59 AEBB.DLL : 8.1.1.0 53618 Bytes 12.08.2010 09:04:59 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 12.08.2010 09:04:59 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 12.08.2010 09:04:59 AVARKT.DLL : 10.0.0.14 227176 Bytes 12.08.2010 09:04:59 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 12.08.2010 09:04:58 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, F:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 12. August 2010 11:19 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '123' Modul(e) wurden durchsucht Durchsuche Prozess 'NOTEPAD.EXE' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'Apntex.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'CeEKey.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'Apoint.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'EzButton.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'hpztsb04.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'ZoomingHook.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'SmoothView.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'TPTray.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'CePMTray.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '379' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Ende des Suchlaufs: Donnerstag, 12. August 2010 13:08 Benötigte Zeit: 1:48:36 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 4186 Verzeichnisse wurden überprüft 231871 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 231871 Dateien ohne Befall 7094 Archive wurden durchsucht 0 Warnungen 0 Hinweise 299821 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
12.08.2010, 12:20 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet VirusfundZitat:
__________________ |
12.08.2010, 12:34 | #3 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Leider hat mein Vater den bestimmten Log in seiner Unwissenheit einfach gelöscht.
__________________Ihm fehlt halt manchmal die Brain.exe was Computer angeht. Ist sonst irgendetwas auffälliges in den Logs zu sehen? |
12.08.2010, 12:37 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet Virusfund Nein. Wobei HJT schon lange nicht mehr für Analysen ausreicht. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2010, 12:50 | #5 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Hier die beiden Dokumente von dem Scan mit OTL. OTL.txt Code:
ATTFilter OTL logfile created on: 12.08.2010 13:44:26 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Hauptnutzer\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 510,00 Mb Total Physical Memory | 304,00 Mb Available Physical Memory | 60,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,73 Gb Total Space | 7,71 Gb Free Space | 39,11% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 27,35 Gb Total Space | 19,37 Gb Free Space | 70,82% Space Free | Partition Type: NTFS Drive F: | 27,45 Gb Total Space | 27,39 Gb Free Space | 99,77% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: Mustermann Current User Name: Hauptnutzer Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Hauptnutzer\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Magical Jelly Bean\keyfinder.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\TOSHIBA\Power Management\CePMTray.exe (COMPAL ELECTRONIC INC.) PRC - C:\Programme\TOSHIBA\E-KEY\CeEKey.exe (COMPAL ELECTRONIC INC.) PRC - C:\Programme\TOSHIBA\TouchPad\TPTray.exe (COMPAL ELECTRONIC INC.) PRC - C:\WINDOWS\system32\ZoomingHook.exe (TOSHIBA) PRC - C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe (TOSHIBA CORPORATION) PRC - C:\Programme\EzButton\EzButton.EXE (Dritek System Inc.) PRC - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Hauptnutzer\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.) SRV - (CeEPwrSvc) -- C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe (COMPAL ELECTRONIC INC.) SRV - (CFSvcs) -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (IPGXII) -- C:\WINDOWS\system32\drivers\IPFD1286.sys (Imation) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (ohci1394) -- C:\WINDOWS\system32\DRIVERS\ohci1394.sys () DRV - (EPOWER) -- C:\WINDOWS\system32\drivers\hkdrv.sys (Compal Electronic Inc.) DRV - (SrvcEPECioctl) -- C:\WINDOWS\system32\drivers\ECioctl.sys () DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (SrvcSSIOMngr) -- C:\WINDOWS\system32\drivers\SSIOMngr.sys (COMPAL ELECTRONIC INC.) DRV - (SrvcTPIOMngr) -- C:\WINDOWS\system32\drivers\TPIOMngr.sys (COMPAL ELECTRONIC INC.) DRV - (SrvcEPIOMngr) -- C:\WINDOWS\system32\drivers\EPIOMngr.sys (COMPAL ELECTRONIC INC.) DRV - (SrvcEKIOMngr) -- C:\WINDOWS\system32\drivers\EKIOMngr.sys (COMPAL ELECTRONIC INC.) DRV - (ESDCR) -- C:\WINDOWS\system32\drivers\ESD7SK.sys (ENE Technology Inc.) DRV - (ESMCR) -- C:\WINDOWS\system32\drivers\ESM7SK.sys (ENE Technology Inc.) DRV - (EMSCR) -- C:\WINDOWS\system32\drivers\EMS7SK.sys (ENE Technology Inc.) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (SMCIRDA) -- C:\WINDOWS\system32\drivers\smcirda.sys (SMSC) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (DKbFltr) -- C:\WINDOWS\system32\drivers\DKbFltr.SYS (Dritek System Inc.) DRV - (w22n51) Intel(R) -- C:\WINDOWS\system32\drivers\w22n51.sys (Intel® Corporation) DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation ) DRV - (PQNTDrv) -- C:\WINDOWS\System32\drivers\PQNTDRV.sys (PowerQuest Corporation) DRV - (Netdevio) -- C:\WINDOWS\system32\drivers\Netdevio.sys (TOSHIBA Corporation.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.clipper-djs.org/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe (COMPAL ELECTRONIC INC.) O4 - HKLM..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe (COMPAL ELECTRONIC INC.) O4 - HKLM..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE (Dritek System Inc.) O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP) O4 - HKLM..\Run: [ Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NDSTray.exe] File not found O4 - HKLM..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe (COMPAL ELECTRONIC INC.) O4 - HKLM..\Run: [ZoomingHook] C:\WINDOWS\system32\ZoomingHook.exe (TOSHIBA) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKCU..\RunOnce: [UniblueRegistryBooster] C:\Programme\Uniblue\RegistryBooster\launcher.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172079893687 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.08.19 12:05:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.12 13:43:45 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hauptnutzer\Desktop\OTL.exe [2010.08.12 13:39:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Anwendungsdaten\Uniblue [2010.08.12 13:39:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\OpenCandy [2010.08.12 13:39:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Anwendungsdaten\OpenCandy [2010.08.12 13:39:18 | 000,000,000 | ---D | C] -- C:\Programme\Magical Jelly Bean [2010.08.12 11:19:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.08.12 11:09:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Anwendungsdaten\Avira [2010.08.12 11:02:23 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.08.12 11:02:23 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.08.12 11:02:22 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.08.12 11:02:20 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.08.12 11:02:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.08.12 10:59:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Anwendungsdaten\Malwarebytes [2010.08.12 10:58:55 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.12 10:58:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.12 10:58:53 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.12 10:58:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.12 10:57:35 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Recent [2010.08.12 10:55:33 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.12 10:31:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood [2010.08.12 10:08:22 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.08.12 01:54:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hauptnutzer\Anwendungsdaten\TuneUp Software [2010.08.12 01:54:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2010.08.12 01:53:50 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.08.12 00:49:36 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy [2010.08.11 22:27:40 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.08.11 22:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.08.08 02:09:04 | 000,000,000 | -HSD | C] -- C:\found.000 [2010.07.22 17:18:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.07.14 20:34:18 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe [2004.08.19 12:48:45 | 000,131,072 | ---- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll [2004.08.16 20:38:28 | 000,036,864 | ---- | C] ( ) -- C:\WINDOWS\System32\ECioctl.dll [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.12 13:43:45 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hauptnutzer\Desktop\OTL.exe [2010.08.12 13:39:30 | 000,000,665 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\KeyFinder.lnk [2010.08.12 13:34:46 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.12 09:35:36 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.12 09:35:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.12 09:35:28 | 535,351,296 | -HS- | M] () -- C:\hiberfil.sys [2010.08.12 09:35:28 | 000,255,864 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.12 02:18:34 | 004,456,448 | -H-- | M] () -- C:\Dokumente und Einstellungen\Hauptnutzer\NTUSER.DAT [2010.08.12 02:18:34 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Hauptnutzer\ntuser.ini [2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll [2010.07.22 22:50:53 | 000,000,603 | ---- | M] () -- C:\WINDOWS\win.ini [2010.07.22 22:50:53 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.07.22 22:50:53 | 000,000,211 | RHS- | M] () -- C:\boot.ini [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.12 13:39:30 | 000,000,665 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\KeyFinder.lnk [2009.07.26 11:57:32 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll [2009.07.26 11:57:32 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll [2009.07.26 11:57:32 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll [2009.07.26 11:53:29 | 000,000,296 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2007.09.02 17:21:38 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\hpspmins.dll [2007.09.02 17:21:38 | 000,003,399 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini [2007.09.02 17:21:38 | 000,000,991 | ---- | C] () -- C:\WINDOWS\System32\hpipxmon.ini [2007.05.14 18:19:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\TPTray.INI [2007.05.14 18:19:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\CePMTray.INI [2007.02.19 21:53:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\CeEKey.INI [2004.08.19 15:42:04 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2004.08.19 15:33:15 | 000,006,757 | ---- | C] () -- C:\WINDOWS\TcdsASC2.ini [2004.08.19 15:29:16 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.08.19 14:16:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI [2004.08.19 14:10:40 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2004.08.19 14:10:40 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2004.08.19 14:10:40 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2004.08.19 14:10:40 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2004.08.19 14:10:40 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2004.08.19 14:10:40 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2004.08.19 13:56:41 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini [2004.08.19 13:56:41 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll [2004.08.19 13:56:41 | 000,010,165 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini [2004.08.19 13:56:41 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini [2004.08.19 13:53:17 | 000,356,352 | ---- | C] () -- C:\WINDOWS\System32\EMCRI.dll [2004.08.19 12:59:19 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2004.08.19 12:48:45 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll [2004.08.19 12:09:36 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2004.08.19 11:51:15 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.08.16 20:35:54 | 000,005,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\ECioctl.sys [2004.08.04 01:10:10 | 000,061,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\ohci1394.sys [1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL < End of report > Code:
ATTFilter OTL Extras logfile created on: 12.08.2010 13:44:26 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Hauptnutzer\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 510,00 Mb Total Physical Memory | 304,00 Mb Available Physical Memory | 60,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,73 Gb Total Space | 7,71 Gb Free Space | 39,11% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 27,35 Gb Total Space | 19,37 Gb Free Space | 70,82% Space Free | Partition Type: NTFS Drive F: | 27,45 Gb Total Space | 27,39 Gb Free Space | 99,77% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: Mustermann Current User Name: Hauptnutzer Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "FirewallDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Professional "{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Disc 2 "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{02EED746-8C5A-43C8-BB3D-D29C8B363A4D}" = TOSHIBA Zooming Hotkey Hook "{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player "{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel "{188BA1CC-F3A1-49B0-A34D-8C861C64E1AE}" = TOSHIBA Benutzerhandbücher "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2447500B-22D7-47BD-9B13-1A927F43A267}" = Empire Earth "{3470FBE6-B743-420F-B5CE-0D27FA749C16}" = Touch and Launch "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3CF0858D-1AC5-4308-9DE7-AD15288A8BDC}" = TOSHIBA Console "{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis "{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5 "{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm "{68D368EE-F5AC-4402-BD45-B454B5453FE1}" = SRS WOW XT Plug-In for Windows Media Player for Toshiba version 1.0.2 "{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic "{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05 "{7EF2432D-8C52-40C1-962A-1EB0413F25ED}" = TouchPad On/Off Utility "{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system "{90850409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003 "{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA "{91A10407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office OneNote 2003 "{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}" = Realtek Fast Ethernet Adapter Driver "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver "{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer "{A933190B-9C8E-4E81-B4D4-038D594A1675}" = TOSHIBA Hotkey Utility "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{D674A81F-0216-4523-B6AB-3F18D789798E}" = TOSHIBA Power Management "{E7310F2E-C551-4FAB-BA07-EAC2E158B1BB}" = IKEA Home Planner "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F1B8DB67-D30E-4FF9-A85F-3CEE51825AA2}" = SMSC IrCC V5.1.3600.5 "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CAL" = Canon Camera Access Library "CameraWindowDVC5" = Canon Camera Window DC_DV 5 for ZoomBrowser EX "CameraWindowDVC6" = Canon Camera Window DC_DV 6 for ZoomBrowser EX "CameraWindowMC" = Canon Camera Window MC 6 for ZoomBrowser EX "Canon G.726 WMP-Decoder" = Canon G.726 WMP-Decoder "CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX "Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX "CCleaner" = CCleaner "CSCLIB" = Canon Camera Support Core Library "EOS Utility" = Canon Utilities EOS Utility "EzButton" = Easy Button "hp deskjet 950c series" = hp deskjet 950c series (Remove only) "HP Standard Port Monitor" = HP Standard Port Monitor "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "InstallShield_{68D368EE-F5AC-4402-BD45-B454B5453FE1}" = SRS WOW XT Plug-In for Windows Media Player for Toshiba version 1.0.2 "InstallShield_{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PowerQuest PartitionMagic 8.0 "InstallShield_{7EF2432D-8C52-40C1-962A-1EB0413F25ED}" = Touchpad EIN/AUS-Utility "InstallShield_{A933190B-9C8E-4E81-B4D4-038D594A1675}" = TOSHIBA Hotkey-Dienstprogramm "KeyFinder_is1" = Magical Jelly Bean KeyFinder "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "PC-Diagnose-Tool" = TOSHIBA PC-Diagnose-Tool "PhotoStitch" = Canon Utilities PhotoStitch "RAW Image Task" = Canon RAW Image Task for ZoomBrowser EX "RemoteCaptureTask" = Canon RemoteCapture Task for ZoomBrowser EX "Rossmann Fotoservice_is1" = Rossmann Fotoservice "TOSHIBA Power Management" = TOSHIBA Energieverwaltung "TOSHIBA Software Modem" = TOSHIBA Software Modem "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "xp-AntiSpy" = xp-AntiSpy 3.97-9 "ZoomBrowser EX" = Canon Utilities ZoomBrowser EX ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 29.07.2010 13:25:56 | Computer Name = Mustermann | Source = Avira AntiVir | ID = 4118 Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei C:\Dokumente und Einstellungen\Hauptnutzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLUPQFDQ\fetchEvents[10]. [IN_PAGE_ERROR Exception!! EIP = 0x1508e64] Bitte Avira informieren und die obige Datei übersenden! Error - 04.08.2010 12:55:48 | Computer Name = Mustermann | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung WINWORD.EXE, Version 9.0.0.2823, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 04.08.2010 12:57:47 | Computer Name = Mustermann | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 04.08.2010 12:57:47 | Computer Name = Mustermann | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 04.08.2010 12:57:47 | Computer Name = Mustermann | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 04.08.2010 12:57:47 | Computer Name = Mustermann | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OUTLOOK.EXE, Version 9.0.0.2416, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.08.2010 01:50:46 | Computer Name = Mustermann | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 11.08.2010 16:10:24 | Computer Name = Mustermann | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.17055, fehlgeschlagenes Modul urlmon.dll, Version 7.0.6000.17055, Fehleradresse 0x00063bb1. Error - 11.08.2010 18:56:25 | Computer Name = Mustermann | Source = MsiInstaller | ID = 1013 Description = Produkt: Adobe Reader 7.1.0 - Deutsch -- Es wird ein Vorgang ausgeführt, der nicht von Adobe Reader beendet werden kann. Starten Sie Ihren Computer neu, und versuchen Sie es nochmals. Error - 11.08.2010 19:37:27 | Computer Name = Mustermann | Source = MsiInstaller | ID = 1013 Description = Produkt: Adobe Reader 7.1.0 - Deutsch -- Es wird ein Vorgang ausgeführt, der nicht von Adobe Reader beendet werden kann. Starten Sie Ihren Computer neu, und versuchen Sie es nochmals. [ System Events ] Error - 11.08.2010 19:50:01 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 11.08.2010 19:50:01 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 11.08.2010 19:50:01 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 11.08.2010 19:50:01 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 11.08.2010 19:54:54 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7000 Description = Der Dienst "TuneUp Designerweiterung" wurde aufgrund folgenden Fehlers nicht gestartet: %%1083 Error - 11.08.2010 20:01:26 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: ohci1394 Error - 12.08.2010 03:35:53 | Computer Name = Mustermann | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: ohci1394 Error - 12.08.2010 05:01:31 | Computer Name = Mustermann | Source = SideBySide | ID = 16842784 Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert. Error - 12.08.2010 05:01:31 | Computer Name = Mustermann | Source = SideBySide | ID = 16842811 Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen. Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert. . Error - 12.08.2010 05:01:31 | Computer Name = Mustermann | Source = SideBySide | ID = 16842811 Description = Generate Activation Context ist für C:\DOKUME~1\HAUPTN~1\LOKALE~1\Temp\RarSFX0\redist.dll fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. . < End of report > |
12.08.2010, 13:53 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet Virusfund Ist rel. unauffällig aber ich würde noch nen Durchgang mit CF empfehlen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> System hackt beim ausführen von Programmen - Antivir meldet Virusfund |
12.08.2010, 14:48 | #7 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund ComboFix Log Code:
ATTFilter ComboFix 10-08-11.05 - Hauptnutzer 12.08.2010 15:30:23.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.510.277 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Hauptnutzer\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_OSPPSVC -------\Service_osppsvc ((((((((((((((((((((((( Dateien erstellt von 2010-07-12 bis 2010-08-12 )))))))))))))))))))))))))))))) . 2010-08-12 13:16 . 2010-08-12 13:16 -------- d-----w- c:\programme\MSBuild 2010-08-12 13:15 . 2010-08-12 13:15 -------- d-----w- c:\programme\Microsoft Sync Framework 2010-08-12 13:15 . 2010-08-12 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Microsoft 2010-08-12 13:09 . 2010-08-12 13:09 -------- d-----w- c:\programme\Microsoft Analysis Services 2010-08-12 13:07 . 2010-08-12 13:07 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft Help 2010-08-12 13:06 . 2010-08-12 13:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-08-12 13:05 . 2010-08-12 13:05 -------- d-----r- C:\MSOCache 2010-08-12 12:54 . 2010-08-12 13:37 -------- d-----w- c:\windows\SxsCaPendDel 2010-08-12 12:21 . 2010-08-12 12:21 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2010-08-12 12:21 . 2010-08-12 12:21 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\skypePM 2010-08-12 12:20 . 2010-08-12 12:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-08-12 12:16 . 2010-08-12 12:16 0 ----a-w- c:\windows\nsreg.dat 2010-08-12 12:16 . 2010-08-12 12:16 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-08-12 12:15 . 2010-08-12 12:15 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll 2010-08-12 12:15 . 2010-08-12 12:13 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll 2010-08-12 12:15 . 2010-08-12 12:05 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe 2010-08-12 12:15 . 2010-08-12 12:15 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe 2010-08-12 12:15 . 2010-08-12 12:15 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe 2010-08-12 12:15 . 2010-08-12 12:15 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe 2010-08-12 12:15 . 2010-08-12 12:15 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe 2010-08-12 12:13 . 2010-08-12 12:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX 2010-08-12 12:12 . 2010-08-12 12:12 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\AOL 2010-08-12 12:12 . 2010-08-12 12:30 -------- d-----w- c:\programme\ICQ7.2 2010-08-12 12:07 . 2010-08-12 12:07 -------- d-----w- c:\programme\VideoLAN 2010-08-12 12:03 . 2010-08-12 12:10 -------- d-----w- c:\windows\system32\Adobe 2010-08-12 11:39 . 2010-08-12 11:39 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Uniblue 2010-08-12 11:39 . 2010-08-12 11:39 4125269 ----a-w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\OpenCandy\OpenCandy_50223E2D89E74C87857C104B54CFEF91\registrybooster21Wrapped.exe 2010-08-12 11:39 . 2010-08-12 11:39 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Lokale Einstellungen\Anwendungsdaten\OpenCandy 2010-08-12 11:39 . 2010-08-12 11:39 331304 ----a-w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\OpenCandy\OpenCandy_50223E2D89E74C87857C104B54CFEF91\DLMgr_3_1.6.44.exe 2010-08-12 11:39 . 2010-08-12 11:39 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\OpenCandy 2010-08-12 11:39 . 2010-08-12 11:39 -------- d-----w- c:\programme\Magical Jelly Bean 2010-08-12 09:19 . 2010-08-12 10:50 -------- d-----w- c:\windows\system32\NtmsData 2010-08-12 09:09 . 2010-08-12 09:09 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Avira 2010-08-12 09:02 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-08-12 09:02 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2010-08-12 09:02 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2010-08-12 09:02 . 2010-08-12 09:02 -------- d-----w- c:\programme\Avira 2010-08-12 09:02 . 2010-08-12 09:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2010-08-12 08:59 . 2010-08-12 08:59 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Malwarebytes 2010-08-12 08:58 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-08-12 08:58 . 2010-08-12 08:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-08-12 08:58 . 2010-08-12 08:58 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-08-12 08:58 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-08-12 08:55 . 2010-08-12 08:55 -------- d-----w- c:\programme\CCleaner 2010-08-12 08:08 . 2010-08-12 08:08 388096 ----a-r- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2010-08-12 08:08 . 2010-08-12 08:08 -------- d-----w- c:\programme\Trend Micro 2010-08-11 23:54 . 2010-08-11 23:54 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\TuneUp Software 2010-08-11 23:54 . 2010-08-12 00:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2010-08-11 23:53 . 2010-08-11 23:53 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} 2010-08-11 22:49 . 2010-08-11 22:49 -------- d-----w- c:\programme\xp-AntiSpy 2010-08-11 20:27 . 2010-08-12 08:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-08-11 20:27 . 2010-08-11 23:40 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-08-08 00:09 . 2010-08-08 00:09 -------- d-----w- C:\found.000 2010-07-14 18:34 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-12 12:55 . 2004-08-19 09:51 48552 ----a-w- c:\windows\system32\perfc007.dat 2010-08-12 12:55 . 2004-08-19 09:51 317168 ----a-w- c:\windows\system32\perfh007.dat 2010-08-12 12:32 . 2009-02-19 17:38 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\ICQ 2010-08-12 12:21 . 2007-10-19 13:52 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Skype 2010-08-12 12:20 . 2007-10-19 13:47 -------- d-----r- c:\programme\skype 2010-08-12 12:20 . 2007-10-19 13:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2010-08-12 12:15 . 2008-01-26 16:43 -------- d-----w- c:\programme\DivX 2010-08-12 12:15 . 2008-01-29 16:01 -------- d-----w- c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\DivX 2010-08-12 12:12 . 2004-08-19 10:52 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-08-12 12:06 . 2004-08-19 12:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-08-11 21:56 . 2007-11-25 17:43 -------- d-----w- c:\programme\Google 2010-08-11 20:09 . 2010-01-10 09:22 -------- d-----w- c:\programme\McAfee Security Scan 2010-08-11 16:07 . 2004-08-19 13:29 -------- d-----w- c:\programme\Symantec 2010-06-30 12:28 . 2004-08-19 09:50 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:15 . 2004-08-19 09:50 832512 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 12:15 . 2004-08-19 09:50 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-06-24 12:15 . 2004-08-19 09:50 17408 ----a-w- c:\windows\system32\corpol.dll 2010-06-24 09:02 . 2004-08-19 09:50 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-19 09:50 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2004-08-19 09:50 80384 ----a-w- c:\windows\system32\iccvid.dll 2010-06-14 14:31 . 2004-08-19 10:03 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe 2010-06-14 07:41 . 2004-08-19 09:50 1172480 ----a-w- c:\windows\system32\msxml3.dll 2010-06-09 23:01 . 2010-08-12 12:14 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys 2010-06-09 23:01 . 2010-08-12 12:14 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2010-06-09 23:01 . 2010-08-12 12:14 45648 ------w- c:\windows\system32\drivers\PxHelp20.sys 2010-06-09 23:01 . 2010-08-12 12:14 133616 ------w- c:\windows\system32\pxafs.dll 2010-06-09 23:01 . 2010-08-12 12:14 126448 ------w- c:\windows\system32\pxinsi64.exe 2010-06-09 23:01 . 2010-08-12 12:14 123888 ------w- c:\windows\system32\pxcpyi64.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}] 2010-02-28 00:20 561552 ----a-w- c:\progra~1\MICROS~2\Office14\URLREDIR.DLL [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968] "CeEPOWER"="c:\programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 135168] "TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 53248] "SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 118784] "ZoomingHook"="c:\windows\System32\ZoomingHook.exe" [2004-07-14 24576] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-07 196608] "NDSTray.exe"="NDSTray.exe" [BU] "EzButton"="c:\programme\EzButton\EzButton.EXE" [2004-07-07 712704] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-30 192512] "AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 88363] "CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 643072] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD] 2003-09-15 14:04 65536 ----a-w- c:\programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ICQ Service"=2 (0x2) "gusvc"=3 (0x3) "CFSvcs"=2 (0x2) "CeEPwrSvc"=2 (0x2) "CCALib8"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ7.2\\ICQ.exe"= "c:\\Programme\\ICQ7.2\\aolload.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"= "c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"= R0 IPGXII;IPGXII;c:\windows\system32\drivers\IPFD1286.sys [14.09.2009 19:49 62528] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2010 11:02 135336] S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 10:25 30969208] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.clipper-djs.org/ Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL FF - ProfilePath - c:\dokumente und einstellungen\Hauptnutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\wnen680d.default\ FF - prefs.js: network.proxy.type - 0 FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Java\j2re1.4.2_05\bin\NPJPI142_05.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-08-12 15:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2616) c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\TOSHIBA\ConfigFree\NDSTray.exe c:\windows\AGRSMMSG.exe c:\programme\Apoint2K\Apntex.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-08-12 15:46:17 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-08-12 13:46 Vor Suchlauf: 4.782.964.736 Bytes frei Nach Suchlauf: 4.878.376.960 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - BD43865DEC6DE7AD199CA40FDF5DBCFD |
12.08.2010, 15:05 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet Virusfund Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2010, 17:13 | #9 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund GMER Log Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-12 18:04:55 Windows 5.1.2600 Service Pack 3 Running: hju5qtqm.exe; Driver: C:\DOKUME~1\HAUPTN~1\LOKALE~1\Temp\uwlyykow.sys ---- System - GMER 1.0.15 ---- SSDT F8C8B5B6 ZwCreateKey SSDT F8C8B5AC ZwCreateThread SSDT F8C8B5BB ZwDeleteKey SSDT F8C8B5C5 ZwDeleteValueKey SSDT F8C8B5CA ZwLoadKey SSDT F8C8B598 ZwOpenProcess SSDT F8C8B59D ZwOpenThread SSDT F8C8B5D4 ZwReplaceKey SSDT F8C8B5CF ZwRestoreKey SSDT F8C8B5C0 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF804A900] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[900] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[3200] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Programme\Internet Explorer\iexplore.exe[900] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation) IAT C:\Programme\Internet Explorer\iexplore.exe[3200] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- OSAM Log Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 18:12:18 on 12.08.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "CoPM.cpl" - "COMPAL ELECTRONIC INC." - C:\WINDOWS\system32\CoPM.cpl "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "jpicpl32.cpl" - "Sun Microsystems" - C:\WINDOWS\system32\jpicpl32.cpl "TOSCDSPD.cpl" - ? - C:\WINDOWS\system32\TOSCDSPD.cpl (File found, but it contains no detailed information) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLCFG32.CPL [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Compal E-POWER Driver" (EPOWER) - "Compal Electronic Inc." - C:\WINDOWS\System32\Drivers\hkdrv.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "IPGXII" (IPGXII) - "Imation" - C:\WINDOWS\System32\drivers\IPFD1286.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PQNTDrv" (PQNTDrv) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQNTDrv.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "SrvcEKIOMngr" (SrvcEKIOMngr) - "COMPAL ELECTRONIC INC." - C:\WINDOWS\System32\Drivers\EKIoMngr.sys "SrvcEPECioctl" (SrvcEPECioctl) - ? - C:\WINDOWS\System32\Drivers\ECioctl.sys "SrvcEPIOMngr" (SrvcEPIOMngr) - "COMPAL ELECTRONIC INC." - C:\WINDOWS\System32\Drivers\EPIoMngr.sys "SrvcSSIOMngr" (SrvcSSIOMngr) - "COMPAL ELECTRONIC INC." - C:\WINDOWS\System32\Drivers\SSIoMngr.sys "SrvcTPIOMngr" (SrvcTPIOMngr) - "COMPAL ELECTRONIC INC." - C:\WINDOWS\System32\Drivers\TPIoMngr.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "TOSHIBA Network Device Usermode I/O Protocol" (Netdevio) - "TOSHIBA Corporation." - C:\WINDOWS\System32\DRIVERS\netdevio.sys "uwlyykow" (uwlyykow) - ? - C:\DOKUME~1\HAUPTN~1\LOKALE~1\Temp\uwlyykow.sys (Hidden registry entry, rootkit activity | File not found) "VIA OHCI-konformer IEEE 1394-Hostcontroller" (ohci1394) - ? - C:\WINDOWS\System32\DRIVERS\ohci1394.sys (File found, but it contains no detailed information) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807573E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {05300401-BCBC-11d0-85E3-00C04FD85AB4} "MHTML Asychronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\WINDOWS\system32\inetcomm.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {3D60EDA7-9AB4-4DA8-864C-D9B5F2E7281D} "Arbeitsbereiche" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {8FF43EAA-2BB1-4A53-8E18-D9221E56E593} "CePMTab PropSheet Class" - "COMPAL ELECTRONIC INC." - C:\WINDOWS\system32\CePMTab.dll {D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll {0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLSHEXT.DLL {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {9ED66769-A198-41FE-8615-601691C68846} "TouchPad PropSheet Class" - "COMPAL ELECTRONIC INC." - C:\WINDOWS\system32\TPprop.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "eBay" - ? - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (File found, but it contains no detailed information) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" - ? - (File not found | COM-object registry key not found) <binary data> "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.4.2_05" - "JavaSoft / Sun Microsystems, Inc." - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} "Java Plug-in 1.4.2_05" - "JavaSoft / Sun Microsystems, Inc." - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab {166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\legitcheckcontrol.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204 {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll {08B0E5C0-4FCB-11CF-AAA5-00401C608501} "ClsidExtension" - ? - (File not found | COM-object registry key not found) {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll "ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe {FFFDC614-B694-4AE6-AB38-5D6374584B52} "Verknüpfte &OneNote-Notizen" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL {B4F3A835-0E21-4959-BA22-42B3008E02FF} "Office Document Cache Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll {22BF413B-C6D2-4d91-82A9-A0F997BA588C} "{22BF413B-C6D2-4d91-82A9-A0F997BA588C}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Hauptnutzer\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "AGRSMMSG" - "Agere Systems" - AGRSMMSG.exe "ATIPTA" - "ATI Technologies, Inc." - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "CeEKEY" - "COMPAL ELECTRONIC INC." - C:\Programme\TOSHIBA\E-KEY\CeEKey.exe "CeEPOWER" - "COMPAL ELECTRONIC INC." - C:\Programme\TOSHIBA\Power Management\CePMTray.exe "DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW "EzButton" - "Dritek System Inc." - C:\Programme\EzButton\EzButton.EXE "NDSTray.exe" - ? - NDSTray.exe (File not found) "SmoothView" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "TPNF" - "COMPAL ELECTRONIC INC." - C:\Programme\TOSHIBA\TouchPad\TPTray.exe "ZoomingHook" - "TOSHIBA" - c:\WINDOWS\System32\ZoomingHook.exe [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "HP Standard IPX/SPX Port" - "Hewlett Packard" - C:\WINDOWS\system32\HPIPXMON.DLL "HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HPTCPMON.DLL [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Microsoft SharePoint Workspace Audit Service" (Microsoft SharePoint Workspace Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\GROOVE.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
12.08.2010, 17:22 | #10 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Bootkid remover debug Log Code:
ATTFilter .\debug.cpp(238) : Debug log started at 12.08.2010 - 16:15:06 .\boot_cleaner.cpp(675) : Bootkit Remover .\boot_cleaner.cpp(676) : (c) 2009 eSage Lab .\boot_cleaner.cpp(677) : www.esagelab.com .\boot_cleaner.cpp(681) : Program version: 1.1.0.0 .\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) .\debug.cpp(248) : ********************************************** .\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] *********** .\debug.cpp(250) : ********************************************** .\debug.cpp(256) : 0x804d7000 0x00217380 "\WINDOWS\system32\ntoskrnl.exe" .\debug.cpp(256) : 0x806ef000 0x00020300 "\WINDOWS\system32\hal.dll" .\debug.cpp(256) : 0xf8b77000 0x00002000 "\WINDOWS\system32\KDCOM.DLL" .\debug.cpp(256) : 0xf8a87000 0x00003000 "\WINDOWS\system32\BOOTVID.dll" .\debug.cpp(256) : 0xf8627000 0x0002f000 "ACPI.sys" .\debug.cpp(256) : 0xf8b79000 0x00002000 "\WINDOWS\system32\DRIVERS\WMILIB.SYS" .\debug.cpp(256) : 0xf8616000 0x00011000 "pci.sys" .\debug.cpp(256) : 0xf8677000 0x0000a000 "isapnp.sys" .\debug.cpp(256) : 0xf8a8b000 0x00003000 "compbatt.sys" .\debug.cpp(256) : 0xf8a8f000 0x00004000 "\WINDOWS\system32\DRIVERS\BATTC.SYS" .\debug.cpp(256) : 0xf8c3f000 0x00001000 "pciide.sys" .\debug.cpp(256) : 0xf88f7000 0x00007000 "\WINDOWS\system32\DRIVERS\PCIIDEX.SYS" .\debug.cpp(256) : 0xf8b7b000 0x00002000 "intelide.sys" .\debug.cpp(256) : 0xf85f8000 0x0001e000 "pcmcia.sys" .\debug.cpp(256) : 0xf8687000 0x0000b000 "MountMgr.sys" .\debug.cpp(256) : 0xf85d9000 0x0001f000 "ftdisk.sys" .\debug.cpp(256) : 0xf8a93000 0x00003000 "ACPIEC.sys" .\debug.cpp(256) : 0xf8c40000 0x00001000 "\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS" .\debug.cpp(256) : 0xf88ff000 0x00005000 "PartMgr.sys" .\debug.cpp(256) : 0xf8697000 0x0000e000 "VolSnap.sys" .\debug.cpp(256) : 0xf85c1000 0x00018000 "atapi.sys" .\debug.cpp(256) : 0xf86a7000 0x00009000 "disk.sys" .\debug.cpp(256) : 0xf86b7000 0x0000d000 "\WINDOWS\system32\DRIVERS\CLASSPNP.SYS" .\debug.cpp(256) : 0xf85a1000 0x00020000 "fltmgr.sys" .\debug.cpp(256) : 0xf858f000 0x00012000 "sr.sys" .\debug.cpp(256) : 0xf86c7000 0x0000a000 "PxHelp20.sys" .\debug.cpp(256) : 0xf8578000 0x00017000 "KSecDD.sys" .\debug.cpp(256) : 0xf84eb000 0x0008d000 "Ntfs.sys" .\debug.cpp(256) : 0xf84be000 0x0002d000 "NDIS.sys" .\debug.cpp(256) : 0xf84a4000 0x0001a000 "Mup.sys" .\debug.cpp(256) : 0xf86d7000 0x0000e000 "IPFD1286.sys" .\debug.cpp(256) : 0xf86e7000 0x0000b000 "agp440.sys" .\debug.cpp(256) : 0xf8847000 0x0000a000 "\SystemRoot\system32\DRIVERS\intelppm.sys" .\debug.cpp(256) : 0xf8ba9000 0x00002000 "\SystemRoot\System32\Drivers\hkdrv.sys" .\debug.cpp(256) : 0xf8379000 0x000d2000 "\SystemRoot\system32\DRIVERS\ati2mtag.sys" .\debug.cpp(256) : 0xf8365000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS" .\debug.cpp(256) : 0xf899f000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys" .\debug.cpp(256) : 0xf8341000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS" .\debug.cpp(256) : 0xf89a7000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys" .\debug.cpp(256) : 0xf8857000 0x00010000 "\SystemRoot\system32\DRIVERS\Rtlnic51.sys" .\debug.cpp(256) : 0xf81ae000 0x00193000 "\SystemRoot\system32\DRIVERS\w22n51.sys" .\debug.cpp(256) : 0xf8867000 0x0000f000 "\SystemRoot\system32\DRIVERS\EMS7SK.sys" .\debug.cpp(256) : 0xf8877000 0x00009000 "\SystemRoot\system32\DRIVERS\ESD7SK.sys" .\debug.cpp(256) : 0xf815d000 0x00051000 "\SystemRoot\system32\DRIVERS\ESM7SK.sys" .\debug.cpp(256) : 0xf8887000 0x0000c000 "\SystemRoot\system32\DRIVERS\smcirda.sys" .\debug.cpp(256) : 0xf8b3b000 0x00003000 "\SystemRoot\system32\DRIVERS\irenum.sys" .\debug.cpp(256) : 0xf8149000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys" .\debug.cpp(256) : 0xf8b43000 0x00004000 "\SystemRoot\system32\DRIVERS\CmBatt.sys" .\debug.cpp(256) : 0xf8897000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys" .\debug.cpp(256) : 0xf8b47000 0x00004000 "\SystemRoot\System32\Drivers\DKbFltr.sys" .\debug.cpp(256) : 0xf89af000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys" .\debug.cpp(256) : 0xf8130000 0x00019000 "\SystemRoot\system32\DRIVERS\Apfiltr.sys" .\debug.cpp(256) : 0xf89b7000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys" .\debug.cpp(256) : 0xf88a7000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys" .\debug.cpp(256) : 0xf88b7000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys" .\debug.cpp(256) : 0xf88c7000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys" .\debug.cpp(256) : 0xf810d000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys" .\debug.cpp(256) : 0xf8076000 0x00097000 "\SystemRoot\system32\drivers\ALCXWDM.SYS" .\debug.cpp(256) : 0xf8052000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys" .\debug.cpp(256) : 0xf88d7000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys" .\debug.cpp(256) : 0xf7ff0000 0x00062000 "\SystemRoot\system32\drivers\ALCXSENS.SYS" .\debug.cpp(256) : 0xf7ebb000 0x00135000 "\SystemRoot\system32\DRIVERS\AGRSM.sys" .\debug.cpp(256) : 0xf89bf000 0x00008000 "\SystemRoot\System32\Drivers\Modem.SYS" .\debug.cpp(256) : 0xf8ca4000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys" .\debug.cpp(256) : 0xf89c7000 0x00005000 "\SystemRoot\system32\DRIVERS\rasirda.sys" .\debug.cpp(256) : 0xf89cf000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS" .\debug.cpp(256) : 0xf88e7000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys" .\debug.cpp(256) : 0xf8b5f000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys" .\debug.cpp(256) : 0xf7e7c000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys" .\debug.cpp(256) : 0xf8707000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys" .\debug.cpp(256) : 0xf8717000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys" .\debug.cpp(256) : 0xf7dcb000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys" .\debug.cpp(256) : 0xf8727000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys" .\debug.cpp(256) : 0xf89d7000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys" .\debug.cpp(256) : 0xf89df000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys" .\debug.cpp(256) : 0xf8737000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys" .\debug.cpp(256) : 0xf8bab000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys" .\debug.cpp(256) : 0xf7d6d000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys" .\debug.cpp(256) : 0xf8b6b000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys" .\debug.cpp(256) : 0xf8757000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS" .\debug.cpp(256) : 0xf8787000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys" .\debug.cpp(256) : 0xf8bad000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS" .\debug.cpp(256) : 0xf8bb1000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS" .\debug.cpp(256) : 0xf8d80000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS" .\debug.cpp(256) : 0xf8bb3000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS" .\debug.cpp(256) : 0xf89ff000 0x00006000 "\SystemRoot\System32\drivers\vga.sys" .\debug.cpp(256) : 0xf8bb5000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS" .\debug.cpp(256) : 0xf8bb7000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys" .\debug.cpp(256) : 0xf8a07000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS" .\debug.cpp(256) : 0xf8a0f000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS" .\debug.cpp(256) : 0xf8b0b000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys" .\debug.cpp(256) : 0xb0772000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys" .\debug.cpp(256) : 0xb0719000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys" .\debug.cpp(256) : 0xb06f1000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys" .\debug.cpp(256) : 0xb06cf000 0x00022000 "\SystemRoot\System32\drivers\afd.sys" .\debug.cpp(256) : 0xf87c7000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys" .\debug.cpp(256) : 0xf8bb9000 0x00002000 "\SystemRoot\System32\Drivers\TPIoMngr.sys" .\debug.cpp(256) : 0xf8bbb000 0x00002000 "\SystemRoot\System32\Drivers\SSIoMngr.sys" .\debug.cpp(256) : 0xf8bbd000 0x00002000 "\SystemRoot\System32\Drivers\EPIoMngr.sys" .\debug.cpp(256) : 0xf8bbf000 0x00002000 "\SystemRoot\System32\Drivers\ECioctl.sys" .\debug.cpp(256) : 0xf8bc1000 0x00002000 "\SystemRoot\System32\Drivers\EKIoMngr.sys" .\debug.cpp(256) : 0xb06a4000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys" .\debug.cpp(256) : 0xf8d8c000 0x00001000 "\SystemRoot\System32\Drivers\PQNTDrv.SYS" .\debug.cpp(256) : 0xb0634000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys" .\debug.cpp(256) : 0xf87d7000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS" .\debug.cpp(256) : 0xb060e000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys" .\debug.cpp(256) : 0xf87e7000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys" .\debug.cpp(256) : 0xb04f4000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys" .\debug.cpp(256) : 0xf8bc9000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys" .\debug.cpp(256) : 0xf8827000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS" .\debug.cpp(256) : 0xaf9cf000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys" .\debug.cpp(256) : 0xf8bd9000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS" .\debug.cpp(256) : 0xbf800000 0x001c5000 "\SystemRoot\System32\win32k.sys" .\debug.cpp(256) : 0xf7d45000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys" .\debug.cpp(256) : 0xf8a27000 0x00005000 "\SystemRoot\System32\watchdog.sys" .\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys" .\debug.cpp(256) : 0xf8d32000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys" .\debug.cpp(256) : 0xbf012000 0x00037000 "\SystemRoot\System32\ati2dvag.dll" .\debug.cpp(256) : 0xbf049000 0x00038000 "\SystemRoot\System32\ati2cqag.dll" .\debug.cpp(256) : 0xbf081000 0x0020f000 "\SystemRoot\System32\ati3duag.dll" .\debug.cpp(256) : 0xbf290000 0x0007f000 "\SystemRoot\System32\ativvaxx.dll" .\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL" .\debug.cpp(256) : 0xaf8a2000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys" .\debug.cpp(256) : 0xaf83c000 0x00016000 "\SystemRoot\system32\DRIVERS\irda.sys" .\debug.cpp(256) : 0xaf8e7000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys" .\debug.cpp(256) : 0xaf8e3000 0x00003000 "\SystemRoot\system32\DRIVERS\netdevio.sys" .\debug.cpp(256) : 0xaf52f000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys" .\debug.cpp(256) : 0xf7e6c000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys" .\debug.cpp(256) : 0xaf112000 0x00057000 "\SystemRoot\system32\DRIVERS\srv.sys" .\debug.cpp(256) : 0xaece6000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys" .\debug.cpp(256) : 0xae7a4000 0x00017000 "\??\C:\DOKUME~1\HAUPTN~1\LOKALE~1\Temp\uwlyykow.sys" .\debug.cpp(256) : 0xae779000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys" .\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll" .\debug.cpp(263) : ********************************************** .\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] *********** .\debug.cpp(308) : ********************************************** .\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\uwlyykow" .\debug.cpp(400) : Destination="\Device\uwlyykow" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS" .\debug.cpp(400) : Destination="\Device\Ndis" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#2#{97f76ef0-f883-11d0-af1f-0000f800845c}" .\debug.cpp(400) : Destination="\Device\00000068" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C2&SUBSYS_FF001179&REV_03#3&61aaa01&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0004" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1" .\debug.cpp(400) : Destination="\Device\Video0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{12C8EFA3-302F-4477-A482-2EFDF123C757}" .\debug.cpp(400) : Destination="\Device\{12C8EFA3-302F-4477-A482-2EFDF123C757}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2" .\debug.cpp(400) : Destination="\Device\Video1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000037" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000046" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip" .\debug.cpp(400) : Destination="\Device\Ip" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3" .\debug.cpp(400) : Destination="\Device\Video2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{F50B18BE-5C6B-48FD-9A5E-BAE440976310}" .\debug.cpp(400) : Destination="\Device\{F50B18BE-5C6B-48FD-9A5E-BAE440976310}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev" .\debug.cpp(400) : Destination="\Device\IPSEC" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio" .\debug.cpp(400) : Destination="\Device\avgio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ECioCtl" .\debug.cpp(400) : Destination="\Device\ECioCtl" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4" .\debug.cpp(400) : Destination="\Device\Video3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000036" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0D#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000045" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY" .\debug.cpp(400) : Destination="\Device\NDProxy" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C5&SUBSYS_FF011179&REV_03#3&61aaa01&0&FD#{dda54a40-1e4c-11d1-a050-405705c10000}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5" .\debug.cpp(400) : Destination="\Device\Video4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP" .\debug.cpp(400) : Destination="\Device\PxHelperDevice0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\EPIoMngr" .\debug.cpp(400) : Destination="\Device\EPIoMngr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C6&SUBSYS_00011179&REV_03#3&61aaa01&0&FE#{86e0d1e0-8089-11d0-9ce4-08003e301f73}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0A#1#{72631e54-78a4-11d0-bcf7-00aa00b7b32a}" .\debug.cpp(400) : Destination="\Device\00000064" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C6&SUBSYS_00011179&REV_03#3&61aaa01&0&FE#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CompositeBattery" .\debug.cpp(400) : Destination="\Device\CompositeBattery" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\F:" .\debug.cpp(400) : Destination="\Device\HarddiskVolume3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice" .\debug.cpp(400) : Destination="\Device\WMIDataDevice" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{aae1df19-c051-11db-aff5-806d6172696f}" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SSIoMngr" .\debug.cpp(400) : Destination="\Device\SSIoMngr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{06CF11BE-81B3-4DE4-AB0D-E5DC640ECD94}" .\debug.cpp(400) : Destination="\Device\{06CF11BE-81B3-4DE4-AB0D-E5DC640ECD94}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt" .\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1524&DEV_0520&SUBSYS_FF001179&REV_00#4&16793a72&0&23F0#{36fc9e60-c465-11cf-8056-444553540000}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0020" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPGXII" .\debug.cpp(400) : Destination="\Device\IPGXII" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE" .\debug.cpp(400) : Destination="\Device\NamedPipe" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{2b1e9da3-c1d2-11db-8711-806d6172696f}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\TOSHIBA Software Modem" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM3" .\debug.cpp(400) : Destination="\Device\AgereModem5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched" .\debug.cpp(400) : Destination="\Device\PSched" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC" .\debug.cpp(400) : Destination="\Device\Mup" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT" .\debug.cpp(400) : Destination="\Device\IPNAT" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg" .\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0" .\debug.cpp(400) : Destination="\Device\USBFDO-0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp" .\debug.cpp(400) : Destination="\Device\Tcp" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureDBEA82D1Offset4EE6F1C00Length6D63E6600#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD" .\debug.cpp(400) : Destination="\Device\VideoPdo1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#6&aa85288&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}" .\debug.cpp(400) : Destination="\Device\Parallel0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&1aae929a&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1" .\debug.cpp(400) : Destination="\Device\USBFDO-1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0" .\debug.cpp(400) : Destination="\Device\Harddisk0\DR0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Netdevio" .\debug.cpp(400) : Destination="\Device\Netdevio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN" .\debug.cpp(400) : Destination="\DosDevices\LPT1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2" .\debug.cpp(400) : Destination="\Device\USBFDO-2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\0000003a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{aae1df18-c051-11db-aff5-806d6172696f}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio" .\debug.cpp(400) : Destination="\Device\sysaudio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap" .\debug.cpp(400) : Destination="\Device\FsWrap" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#SMCF010#5&52bdd00&0#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000067" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\0000003b" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000039" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3" .\debug.cpp(400) : Destination="\Device\USBFDO-3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&14fb1c4&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C93C64DF-E103-4112-A725-A2C80239E16E}" .\debug.cpp(400) : Destination="\Device\{C93C64DF-E103-4112-A725-A2C80239E16E}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24CD&SUBSYS_FF001179&REV_03#3&61aaa01&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0007" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1524&DEV_0530&SUBSYS_FF001179&REV_00#4&16793a72&0&21F0#{36fc9e60-c465-11cf-8056-444553540000}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0018" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C4&SUBSYS_FF001179&REV_03#3&61aaa01&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000049" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global" .\debug.cpp(400) : Destination="\GLOBAL??" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Apfiltr" .\debug.cpp(400) : Destination="\Device\Apfiltr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureDBEA82D1OffsetBC4AE0000Length6DD1B8200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0" .\debug.cpp(400) : Destination="\Device\PxHelperDevice0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Pcmcia0" .\debug.cpp(400) : Destination="\Device\Pcmcia0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskIC25N080ATMR04-0________________________MO4OAD4A#5&1717fb6e&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T0L0-3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&3a741276&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureDBEA82D1Offset7E00Length4EE6E2000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8139&SUBSYS_FF001179&REV_10#4&16793a72&0&08F0#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0015" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{D42222B1-F75B-4F69-9753-5756E2F8F5F3}" .\debug.cpp(400) : Destination="\Device\{D42222B1-F75B-4F69-9753-5756E2F8F5F3}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C5&SUBSYS_FF011179&REV_03#3&61aaa01&0&FD#{65e8773d-8f56-11d0-a3b9-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&32d50c2&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\00000065" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{2b1e9da2-c1d2-11db-8711-806d6172696f}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C1524B91-8E7A-4603-A09A-69D6664C61CA}" .\debug.cpp(400) : Destination="\Device\{C1524B91-8E7A-4603-A09A-69D6664C61CA}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{BFFA549D-C5A1-424A-9E8A-6D8235899CDC}" .\debug.cpp(400) : Destination="\Device\{BFFA549D-C5A1-424A-9E8A-6D8235899CDC}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_13#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}" .\debug.cpp(400) : Destination="\Device\00000044" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager" .\debug.cpp(400) : Destination="\Device\MountPointManager" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0F13#4&32d50c2&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\00000066" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000035" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32" .\debug.cpp(400) : Destination="\Device\PxHelperDevice0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp" .\debug.cpp(400) : Destination="\Device\WANARP" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&357dea8a&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\00000003" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Dritek_KB_Filter" .\debug.cpp(400) : Destination="\Device\Dritek_KB_Filter" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP" .\debug.cpp(400) : Destination="\Device\NdisWanIp" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:" .\debug.cpp(400) : Destination="\Device\Ide\IdePort0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C7&SUBSYS_FF001179&REV_03#3&61aaa01&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0006" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{409C949F-2AC1-41FB-B158-CC535B98CCC7}" .\debug.cpp(400) : Destination="\Device\{409C949F-2AC1-41FB-B158-CC535B98CCC7}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMATSHITA_DVD-RAM_UJ-820S________________1.50____#5&45e4ac9&0&0.0.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\EKIoMngr" .\debug.cpp(400) : Destination="\Device\EKIoMngr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_4E50&SUBSYS_FF021179&REV_00#4&1ab4b779&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0021" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#CMP0101#2&daba3ff&0#{53059d4f-bb62-4ba7-928f-4b5eec85c7c4}" .\debug.cpp(400) : Destination="\Device\00000047" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000038" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1" .\debug.cpp(400) : Destination="\Device\ParTechInc0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}" .\debug.cpp(400) : Destination="\Device\0000003f" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI" .\debug.cpp(400) : Destination="\Device\NdisTapi" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan" .\debug.cpp(400) : Destination="\Device\NdisWan" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:" .\debug.cpp(400) : Destination="\Device\Ide\IdePort1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST" .\debug.cpp(400) : Destination="\Device\IPMULTICAST" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1" .\debug.cpp(400) : Destination="\Device\Parallel0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2" .\debug.cpp(400) : Destination="\Device\ParTechInc1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\TPIoMngr" .\debug.cpp(400) : Destination="\Device\TPIoMngr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow" .\debug.cpp(400) : Destination="\Device\LanmanRedirector" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C5&SUBSYS_FF011179&REV_03#3&61aaa01&0&FD#{65e8773e-8f56-11d0-a3b9-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{FB0C4854-10B1-4AFA-A410-E2054D6FCEA2}" .\debug.cpp(400) : Destination="\Device\{FB0C4854-10B1-4AFA-A410-E2054D6FCEA2}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3" .\debug.cpp(400) : Destination="\Device\ParTechInc2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMATSHITA_DVD-RAM_UJ-820S________________1.50____#5&45e4ac9&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr" .\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_IRDAMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000034" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl" .\debug.cpp(400) : Destination="\Device\FtControl" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT" .\debug.cpp(400) : Destination="\Device\MailSlot" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX" .\debug.cpp(400) : Destination="\DosDevices\COM1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PQNTDRV" .\debug.cpp(400) : Destination="\Device\PQNTDRV" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio" .\debug.cpp(400) : Destination="\Device\Ndisuio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT" .\debug.cpp(400) : Destination="" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\0000003e" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL" .\debug.cpp(400) : Destination="\Device\Null" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1524&DEV_0550&SUBSYS_FF011179&REV_00#4&16793a72&0&22F0#{36fc9e61-c465-11cf-8056-444553540000}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0019" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\AGRSM_xface" .\debug.cpp(400) : Destination="\Device\AGRSM_xface" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\0000003d" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{237E1ABA-EF5F-4665-A721-E206DF66DCD9}" .\debug.cpp(400) : Destination="\Device\{237E1ABA-EF5F-4665-A721-E206DF66DCD9}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_24C5&SUBSYS_FF011179&REV_03#3&61aaa01&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMATSHITA_DVD-RAM_UJ-820S________________1.50____#5&45e4ac9&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb" .\debug.cpp(400) : Destination="\Device\avipbb" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{5E646F91-6AB0-42C3-91A7-0C6E87C61715}" .\debug.cpp(400) : Destination="\Device\{5E646F91-6AB0-42C3-91A7-0C6E87C61715}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_4220&SUBSYS_27418086&REV_05#4&16793a72&0&10F0#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0016" .\debug.cpp(451) : ********************************************** .\boot_cleaner.cpp(1077) : System volume is \\.\C: .\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 .\boot_cleaner.cpp(424) : Boot sector MD5 is: 99ed1954602173ef14b43a708afaa354 .\boot_cleaner.cpp(1151) : .\boot_cleaner.cpp(1152) : Size Device Name MBR Status .\boot_cleaner.cpp(1153) : -------------------------------------------- .\boot_cleaner.cpp(1197) : 74 GB \\.\PhysicalDrive0 Unknown boot code .\boot_cleaner.cpp(1203) : .\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks. .\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector: .\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file] .\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command: .\boot_cleaner.cpp(1217) : remover.exe fix <device_name> .\boot_cleaner.cpp(1220) : .\boot_cleaner.cpp(1242) : Done; Code:
ATTFilter System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 99ed1954602173ef14b43a708afaa354 Size - Device Name - MBR Status 74 GB - \\.\PhysicalDrive0 - Unknown boot code Unknow boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... Geändert von nofact (12.08.2010 um 18:16 Uhr) |
12.08.2010, 18:01 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet VirusfundZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2010, 18:15 | #12 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Boot sector MD5 is: 99ed1954602173ef14b43a708afaa354 Zack da ist er. |
12.08.2010, 19:56 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet Virusfund Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat Bitte als Beschreibung die MD5-Prüfsumme angeben!
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2010, 23:57 | #14 |
| System hackt beim ausführen von Programmen - Antivir meldet Virusfund Done. Ist hochgeladen. |
13.08.2010, 07:36 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | System hackt beim ausführen von Programmen - Antivir meldet Virusfund Ok Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe fix \\.\PhysicalDrive0
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu System hackt beim ausführen von Programmen - Antivir meldet Virusfund |
0 bytes, antivir, antivir meldet, arbeitet, askbar, avg, bho, dateien, desktop, dllhost.exe, ebay, explorer, hkus\s-1-5-18, hotkey, icq, infizierte, infizierte datei, internet, internet explorer, langsam, log, mein log, microsoft, notebook, notepad.exe, nt.dll, programme, registry, sched.exe, security, sehr langsam, software, system, versteckte objekte, verweise, virus gefunden, windows, windows xp |