| |
| |||||||
Log-Analyse und Auswertung: Hijack-This Ergebnis - Auswertung möglich?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.08.2010, 20:56
| #1 |
 |  Hijack-This Ergebnis - Auswertung möglich? Hallo Zusammen, ich glaube, es war unsere Blumengiessurlaubsvertretung - oder die hat zumindest das Fass (also den Rechner) zum überlaufen gebracht  Nachdem wir aus dem Urlaub kamen ging gar nichts mehr am Rechner. Avira hat 7 Viren gefunden, Search and Destroy auch noch einiges. Aber immer noch öffnen sich im Firefox Fenster einfach so und Google Links verweisen auf falsche Seiten... Ebay hat zum 10. mal geschrieben, dass sie uns sperren, weil sie vermuten, dass jemand den Acount "klauen" will und unsere Bank hat den Online Zugang gesperrt wegen eines Trojaners, den die entdeckt haben bei uns  Hier jetzt nochmal ein Versuch mit HijackThis. Leider habe ich gar keine Ahnung von dem, was da als Ergebnis rauskam. Ich hoffe sehr, jemand kann hier helfen. "Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:08:49, on 15.8.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\plugin-container.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe C:\WINDOWS\system32\NOTEPAD.EXE  und viele Grüsse S. p.s.: der zweite Teil vom Logfile gleich - der Rechner lässt es mich nicht ganz posten - ich werd noch verrückt  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\svchost32.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll Es tut mir leid dass ich das so zerstückel - Firefox und Internetexplorer stoppen mich aus. Ich versteh nur noch Bahnhof. Wie geht denn das? O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [yusedehxxx.exe] C:\yusedehxxx.exe\yusedehxxx.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [{E6E13697-620C-E889-84D4-8BD8CB7225D3}] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Xoquo\remyo.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user') O4 - Startup: syscron.exe O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=w3foto O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{42D2FD6A-F073-4CC4-AF1A-2E2753D3056E}: NameServer = 217.0.43.17 217.0.43.49 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (file missing) O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe O16 - dpf: {5ed80217-570b-4da9-bf44-be107c0ec166} (Windows Live Safety Center Base Module) - //cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - //www 1.uplo adserver.info/premium/uploader/ImageUploader4.cab diesen Satz verhindert Firefox: - wuweb_site.cab?1262382060531 davor steht /up date.micro soft.com/windo wsupdate/v6/V5Controls/en/x86/client/ So - jetzt aber. Nochmal entschuldigung  |
|
16.08.2010, 08:29
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Hijack-This Ergebnis - Auswertung möglich?Zitat:
Aus den Regeln: 5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe) Fehlen diese Angaben, kann und wird dir hier niemand helfen.
__________________ |
|
16.08.2010, 09:09
| #3 |
| | Hijack-This Ergebnis - Auswertung möglich? Hallo Arne,
__________________ich dachte die Virenprobleme wären behoben, da die Programme sie ja gefunden und geklärt haben? Ich dachte, die HijackThis Ergebnisse stehen für sich, wenn das andere durch die Programme erkannt war... Ich habe aus dem Report folgendes rausgesucht: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\310c521e-17e4256e [0] Archivtyp: ZIP --> dev/s/DyesyasZ.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2 --> dev/s/LoaderX.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1 C:\Programme\Secured IE\securedie.exe [0] Archivtyp: ZIP SFX (self extracting) --> TBEDRS.DLL [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Shopper.X C:\System Volume Information\_restore{51E4A032-9A64-4AD0-85D6-884ACCDC75B3}\RP874\A0275074.exe [FUND] Ist das Trojanische Pferd TR/Jorik.SpyEyes.Y Bei Spybot finde ich leider keinen Report. Meine Bank hat mich grade angerufen, dass sie eben meinen Computer gescannt hätten (geht das?) und es wäre immer noch ein Trojaner an Bord. Hoffe, diese Infos reichen? LG S. |
|
16.08.2010, 09:09
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hijack-This Ergebnis - Auswertung möglich? Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.08.2010, 12:51
| #5 |
| | Hijack-This Ergebnis - Auswertung möglich? Hallo, hier schonmal der Malwarebytes-Log. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4435 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 16.8.2010 13:50:10 mbam-log-2010-08-16 (13-50-10).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 228839 Laufzeit: 3 Stunde(n), 21 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 2 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\svchost32.exe,) Good: (userinit.exe) -> No action taken. Infizierte Verzeichnisse: C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken. C:\WINDOWS\efee3f32f (Trojan.Zbot) -> No action taken. Infizierte Dateien: C:\WINDOWS\efee3f32f\brrve.nls (Trojan.Zbot) -> No action taken. C:\WINDOWS\efee3f32f\wrfsf.nls (Trojan.Zbot) -> No action taken. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dhxiuw.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Administrator\x.exe (Trojan.KillAV) -> No action taken. Es besteht jetzt die Möglichkeit "entferne Auswahl". Soll ich das schonmal machen, oder erst OTL laufen lassen? Viele Grüsse! S. |
|
16.08.2010, 12:59
| #6 |
| | Hijack-This Ergebnis - Auswertung möglich? Ach so - der Bankmensch hat gesagt, ich soll, falls ich einen Experten spreche sagen, dass die den Trojaner festgestellt haben und dieser .carberp. heißt. Ob der von den Programmen, die wir bis jetzt laufen hatte schon erledigt wurde weiß ich leider nicht. LG nochmal! |
|
16.08.2010, 13:01
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hijack-This Ergebnis - Auswertung möglich? Ja, bitte alle Funde entfernen lassen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2010, 13:31
| #8 |
| | Hijack-This Ergebnis - Auswertung möglich? Hallo nochmals, das habe ich gemacht und OTL hat auch bereits fertig gescanned. OTL Logfile: OTL Logfile: Code:
ATTFilter OTL logfile created on: 16.8.2010 14:12:09 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy 503,00 Mb Total Physical Memory | 62,00 Mb Available Physical Memory | 12,00% Memory free 844,00 Mb Paging File | 413,00 Mb Available in Paging File | 49,00% Paging File free Paging file location(s): C:\pagefile.sys 372 744 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,26 Gb Total Space | 6,40 Gb Free Space | 17,16% Space Free | Partition Type: NTFS Drive D: | 20,59 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MAXDATA Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) PRC - C:\WINDOWS\system32\control.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (ProtexisLicensing) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe File not found SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe File not found SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH) SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (USBAAPL) -- C:\WINDOWS\System32\Drivers\usbaapl.sys File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.) DRV - (acedrv09) -- C:\WINDOWS\system32\drivers\acedrv09.sys (Protect Software GmbH) DRV - (acehlp09) -- C:\WINDOWS\system32\drivers\acehlp09.sys (Protect Software GmbH) DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH) DRV - (ACEDRV05) -- C:\WINDOWS\system32\drivers\ACEDRV05.sys (Protect Software GmbH) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (SQTECH905C) -- C:\WINDOWS\system32\drivers\Capt905c.sys (Service & Quality Technology.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.23 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.09 10:51:51 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.11 15:08:35 | 000,000,000 | ---D | M] [2008.06.19 08:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.08.16 10:14:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions [2010.08.16 10:14:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} [2010.08.16 10:14:25 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.08.09 10:17:52 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.08.12 14:56:48 | 000,424,423 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 0.0.0.0 virusin O1 - Hosts: 0.0.0.0 www.vir O1 - Hosts: 0.0.0.0 project O1 - Hosts: 0.0.0.0 www.pro O1 - Hosts: 0.0.0.0 novirus O1 - Hosts: 0.0.0.0 www.nov O1 - Hosts: 0.0.0.0 anti-ma O1 - Hosts: 0.0.0.0 www.ant O1 - Hosts: 0.0.0.0 offensi O1 - Hosts: 0.0.0.0 www.off O1 - Hosts: 0.0.0.0 zeustra O1 - Hosts: 0.0.0.0 www.zeu O1 - Hosts: 0.0.0.0 www.mal O1 - Hosts: 0.0.0.0 www3.ma O1 - Hosts: 0.0.0.0 forum.m O1 - Hosts: 0.0.0.0 www.thr O1 - Hosts: 0.0.0.0 threate O1 - Hosts: 0.0.0.0 www.mic O1 - Hosts: 0.0.0.0 update. O1 - Hosts: 0.0.0.0 www.vir O1 - Hosts: 0.0.0.0 virussc O1 - Hosts: 0.0.0.0 www.av- O1 - Hosts: 0.0.0.0 av-comp O1 - Hosts: 0.0.0.0 av-test O1 - Hosts: 14836 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Winamp Toolbar BHO) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe File not found O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe File not found O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [RegistryBooster] C:\Programme\Uniblue\RegistryBooster\launcher.exe File not found O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O15 - HKCU\..Trusted Domains: datev.de ([]http is out of zone range - 5) O15 - HKCU\..Trusted Domains: datev.de ([]https is out of zone range - 5) O15 - HKCU\..Trusted Domains: datevnet.de ([*.services] http is out of zone range - 5) O15 - HKCU\..Trusted Domains: datevnet.de ([*.services] https is out of zone range - 5) O15 - HKCU\..Trusted Domains: datevstadt.de ([]http is out of zone range - 5) O15 - HKCU\..Trusted Domains: datevstadt.de ([]https is out of zone range - 5) O15 - HKCU\..Trusted Ranges: LocalHost ([http] = Out of zone range - ( 5 ) O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} hxxp://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.01.18 22:53:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.16 10:21:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.08.16 10:20:55 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.16 10:20:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.16 10:20:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.16 10:20:37 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.16 10:16:37 | 006,153,376 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup-1.46.exe [2010.08.16 10:15:29 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.08.15 22:20:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\backups [2010.08.15 21:04:10 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe [2010.08.13 18:59:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrojanHunter [2010.08.13 18:54:59 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3 [2010.08.12 12:19:58 | 000,000,000 | ---D | C] -- C:\Programme\Wimpomat2 [2010.08.09 14:04:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software [2010.08.09 13:55:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft [2010.08.09 13:49:25 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.08.09 13:49:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.08.09 11:56:25 | 000,000,000 | ---D | C] -- C:\Programme\Wise Registry Cleaner [2010.08.09 11:28:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun [2010.08.09 11:25:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue [2010.08.09 11:14:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2010.08.09 11:09:00 | 000,040,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\irbus.sys [2010.08.09 11:09:00 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\rwnh.dll [2010.08.09 11:09:00 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\comsdupd.exe [2010.08.09 11:08:59 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\smtpapi.dll [2010.08.09 11:08:55 | 000,004,255 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv01nt5.dll [2010.08.09 11:08:55 | 000,003,967 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv02nt5.dll [2010.08.09 11:08:54 | 000,063,663 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1rvxx.sys [2010.08.09 11:08:54 | 000,056,623 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1btxx.sys [2010.08.09 11:08:54 | 000,043,008 | ---- | C] (Advanced Micro Devices, Inc.) -- C:\WINDOWS\System32\drivers\amdagp.sys [2010.08.09 11:08:54 | 000,030,671 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1raxx.sys [2010.08.09 11:08:54 | 000,012,047 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1pdxx.sys [2010.08.09 11:08:54 | 000,011,615 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1mdxx.sys [2010.08.09 11:08:54 | 000,003,775 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv11nt5.dll [2010.08.09 11:08:54 | 000,003,711 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv09nt5.dll [2010.08.09 11:08:54 | 000,003,647 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv07nt5.dll [2010.08.09 11:08:54 | 000,003,615 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv05nt5.dll [2010.08.09 11:08:54 | 000,003,135 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\adv08nt5.dll [2010.08.09 11:08:53 | 000,701,952 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtag.sys [2010.08.09 11:08:53 | 000,327,168 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati2mtaa.sys [2010.08.09 11:08:53 | 000,057,856 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinbtxx.sys [2010.08.09 11:08:53 | 000,052,224 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinraxx.sys [2010.08.09 11:08:53 | 000,036,463 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1tuxx.sys [2010.08.09 11:08:53 | 000,034,735 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xsxx.sys [2010.08.09 11:08:53 | 000,029,455 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1xbxx.sys [2010.08.09 11:08:53 | 000,026,367 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1snxx.sys [2010.08.09 11:08:53 | 000,021,343 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\ati1ttxx.sys [2010.08.09 11:08:53 | 000,014,336 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinpdxx.sys [2010.08.09 11:08:53 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinmdxx.sys [2010.08.09 11:08:52 | 000,104,960 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinrvxx.sys [2010.08.09 11:08:52 | 000,073,216 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atintuxx.sys [2010.08.09 11:08:52 | 000,063,488 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxsxx.sys [2010.08.09 11:08:52 | 000,031,744 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinxbxx.sys [2010.08.09 11:08:52 | 000,028,672 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinsnxx.sys [2010.08.09 11:08:52 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv04nt5.dll [2010.08.09 11:08:52 | 000,021,183 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv01nt5.dll [2010.08.09 11:08:52 | 000,017,279 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv10nt5.dll [2010.08.09 11:08:52 | 000,014,143 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv06nt5.dll [2010.08.09 11:08:52 | 000,013,824 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\drivers\atinttxx.sys [2010.08.09 11:08:52 | 000,011,359 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\atv02nt5.dll [2010.08.09 11:08:51 | 000,035,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\bthprint.sys [2010.08.09 11:08:51 | 000,015,423 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\ch7xxnt5.dll [2010.08.09 11:08:50 | 001,309,184 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlstrm.sys [2010.08.09 11:08:50 | 000,126,686 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\mtlmnt5.sys [2010.08.09 11:08:49 | 001,897,408 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\drivers\nv4_mini.sys [2010.08.09 11:08:49 | 000,452,736 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\drivers\mtxparhm.sys [2010.08.09 11:08:49 | 000,180,360 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\ntmtlfax.sys [2010.08.09 11:08:49 | 000,013,776 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\recagent.sys [2010.08.09 11:08:49 | 000,012,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\mutohpen.sys [2010.08.09 11:08:48 | 000,404,990 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slntamr.sys [2010.08.09 11:08:48 | 000,166,912 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\drivers\s3gnbm.sys [2010.08.09 11:08:48 | 000,129,535 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnt7554.sys [2010.08.09 11:08:48 | 000,095,424 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slnthal.sys [2010.08.09 11:08:48 | 000,041,088 | ---- | C] (Silicon Integrated Systems Corporation) -- C:\WINDOWS\System32\drivers\sisagp.sys [2010.08.09 11:08:48 | 000,030,080 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\rndismpx.sys [2010.08.09 11:08:48 | 000,013,240 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\drivers\slwdmsup.sys [2010.08.09 11:08:48 | 000,006,016 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\smbali.sys [2010.08.09 11:08:48 | 000,003,901 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\siint5.dll [2010.08.09 11:08:47 | 000,025,471 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv10nt.sys [2010.08.09 11:08:47 | 000,022,271 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\watv06nt.sys [2010.08.09 11:08:47 | 000,011,935 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv11nt.sys [2010.08.09 11:08:47 | 000,011,871 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv09nt.sys [2010.08.09 11:08:47 | 000,011,807 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv07nt.sys [2010.08.09 11:08:47 | 000,011,325 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\vchnt5.dll [2010.08.09 11:08:47 | 000,011,295 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\drivers\wadv08nt.sys [2010.08.09 11:08:46 | 000,870,784 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3d1ag.dll [2010.08.09 11:08:46 | 000,377,984 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvaa.dll [2010.08.09 11:08:46 | 000,229,376 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2cqag.dll [2010.08.09 11:08:46 | 000,201,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ati2dvag.dll [2010.08.09 11:08:45 | 001,888,992 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ati3duag.dll [2010.08.09 11:08:44 | 000,032,768 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativtmxx.dll [2010.08.09 11:08:44 | 000,023,040 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativmvxx.ax [2010.08.09 11:08:44 | 000,009,728 | ---- | C] (ATI Technologies Inc.) -- C:\WINDOWS\System32\ativdaxx.ax [2010.08.09 11:08:43 | 000,516,768 | ---- | C] (ATI Technologies Inc. ) -- C:\WINDOWS\System32\ativvaxx.dll [2010.08.09 11:08:43 | 000,086,016 | ---- | C] (Conexant) -- C:\WINDOWS\System32\mdmxsdk.dll [2010.08.09 11:08:43 | 000,032,285 | ---- | C] (Conexant Systems, Inc.) -- C:\WINDOWS\System32\hsfcisp2.dll [2010.08.09 11:08:41 | 001,737,856 | ---- | C] (Matrox Graphics Inc.) -- C:\WINDOWS\System32\mtxparhd.dll [2010.08.09 11:08:40 | 004,274,816 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nv4_disp.dll [2010.08.09 11:08:39 | 000,397,056 | ---- | C] (S3 Graphics, Inc.) -- C:\WINDOWS\System32\s3gnb.dll [2010.08.09 11:08:38 | 000,286,792 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slextspk.dll [2010.08.09 11:08:38 | 000,188,508 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slgen.dll [2010.08.09 11:08:38 | 000,073,832 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slcoinst.dll [2010.08.09 11:08:38 | 000,073,796 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slserv.exe [2010.08.09 11:08:38 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\System32\slrundll.exe [2010.08.09 11:08:38 | 000,032,866 | ---- | C] (Smart Link) -- C:\WINDOWS\slrundll.exe [2010.08.09 11:02:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles [2010.08.09 10:18:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.08.09 10:17:49 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.08.09 10:17:49 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.08.09 10:17:49 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.08.09 10:17:49 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.08.07 20:39:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.08.07 20:34:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.16 14:10:54 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.08.16 14:09:39 | 000,000,286 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-606747145-261903793-682003330-500.job [2010.08.16 14:09:31 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.16 14:09:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.16 14:09:24 | 528,015,360 | -HS- | M] () -- C:\hiberfil.sys [2010.08.16 14:07:49 | 010,747,904 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.08.16 14:07:49 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.08.16 14:06:01 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.08.16 13:48:24 | 000,002,835 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\log [2010.08.16 10:21:01 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.16 10:16:50 | 006,153,376 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup-1.46.exe [2010.08.16 10:15:32 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.08.15 21:04:22 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe [2010.08.15 18:16:28 | 000,031,232 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Modul_1D_Pflichtlektuere_eingeschr.doc [2010.08.15 11:32:48 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.08.14 11:11:24 | 000,000,076 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\thema01.smil [2010.08.13 18:55:55 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll [2010.08.12 16:11:07 | 000,000,558 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Administrator.job [2010.08.12 14:56:48 | 000,424,423 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.08.12 14:55:16 | 000,424,423 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-145648.backup [2010.08.12 12:01:57 | 006,434,978 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.12 10:56:51 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Word 2003.lnk [2010.08.10 10:30:44 | 000,073,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.09 12:15:43 | 006,324,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.rhk [2010.08.09 11:24:45 | 000,000,648 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.09 11:24:45 | 000,000,260 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.09 11:24:45 | 000,000,211 | RHS- | M] () -- C:\boot.ini [2010.08.09 11:13:32 | 000,270,984 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.07 20:26:47 | 000,124,784 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.08.07 20:26:47 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.08.07 20:26:45 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.08.07 20:26:45 | 000,017,016 | ---- | M] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.08.07 20:26:44 | 000,051,992 | ---- | M] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.08.07 20:15:29 | 000,008,538 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-145516.backup [2010.08.06 12:01:26 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI [2010.08.05 01:05:18 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.08.03 20:08:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.02 22:17:39 | 000,000,294 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-606747145-261903793-682003330-500.job [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.16 13:48:21 | 000,002,835 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\log [2010.08.16 10:21:01 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.15 18:16:39 | 000,031,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Modul_1D_Pflichtlektuere_eingeschr.doc [2010.08.14 11:09:49 | 000,000,076 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\thema01.smil [2010.08.13 18:55:02 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll [2010.08.09 14:13:07 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.08.09 12:15:34 | 006,324,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.rhk [2010.08.09 11:08:52 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod [2010.08.09 11:08:51 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty [2010.08.09 11:08:49 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img [2010.01.01 23:27:05 | 000,165,088 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2009.07.19 18:28:58 | 000,000,126 | ---- | C] () -- C:\WINDOWS\_delis43.ini [2008.06.26 15:49:39 | 000,000,024 | ---- | C] () -- C:\WINDOWS\prt254.dll [2008.06.26 15:49:26 | 000,000,018 | ---- | C] () -- C:\WINDOWS\cnc.ini [2007.08.28 13:12:53 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll [2007.06.19 20:42:02 | 000,000,077 | ---- | C] () -- C:\WINDOWS\Startup.INI [2007.06.14 12:54:48 | 000,000,121 | ---- | C] () -- C:\WINDOWS\gewerbesteuer.INI [2007.05.14 22:35:07 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2007.05.09 08:44:09 | 000,000,025 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2007.03.24 23:40:46 | 000,031,744 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.03.20 17:17:48 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\2433387E19.sys [2007.03.20 16:15:39 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2007.03.10 20:42:06 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2007.03.10 20:10:27 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.01.20 12:18:42 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.01.18 23:31:51 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2007.01.18 23:23:41 | 000,086,016 | ---- | C] () -- C:\Programme\uninstgs.exe [2007.01.18 23:21:13 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.01.18 23:03:50 | 000,000,032 | ---- | C] () -- C:\WINDOWS\autorun.INI [2007.01.18 22:29:05 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2004.07.17 12:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys [2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002.03.21 16:39:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL < End of report > --- --- --- EDIT: Das zweite lässt sich wieder nicht posten. Firefox schreibt immer: Verbindung zurückgesetzt... Geändert von dagda111 (16.08.2010 um 13:40 Uhr) |
|
16.08.2010, 13:43
| #9 |
| | Hijack-This Ergebnis - Auswertung möglich? Der erste Teil geht: OTL Extras logfile created on: 16.8.2010 14:12:09 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy 503,00 Mb Total Physical Memory | 62,00 Mb Available Physical Memory | 12,00% Memory free 844,00 Mb Paging File | 413,00 Mb Available in Paging File | 49,00% Paging File free Paging file location(s): C:\pagefile.sys 372 744 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,26 Gb Total Space | 6,40 Gb Free Space | 17,16% Space Free | Partition Type: NTFS Drive D: | 20,59 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MAXDATA Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = Opera.HTML] -- Reg Error: Key error. File not found [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation) http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) jsfile [edit] -- "C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\9.0\ACDSeeQV.exe" "%1" (ACD Systems Ltd.) Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "FirewallOverride" = 0 "AntiVirusOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet  isabled:@xpsp2res.dll,-22007"2869:TCP" = 2869:TCP:LocalSubNet isabled:@xpsp2res.dll,-22008========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Morpheus\Morpheus.exe" = C:\Programme\Morpheus\Morpheus.exe:*:Enabled:Morpheus -- File not found "C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (hxxp://www.emule-project.net) "C:\Programme\SmartFTP Client 2.0\SmartFTP.exe" = C:\Programme\SmartFTP Client 2.0\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0 -- (SmartSoft Ltd.) "C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe" = C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe:*:Enabled reamweaver 8 -- (Macromedia, Inc.)"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) "C:\Programme\Winamp Remote\bin\Orb.exe" = C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb -- (Orb Networks, Inc.) "C:\Programme\Winamp Remote\bin\OrbTray.exe" = C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray -- (Orb Networks) "C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe" = C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client -- (Orb Networks) "C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.) "C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.) "C:\Programme\Wimpomat2\Wimpomat2.exe" = C:\Programme\Wimpomat2\Wimpomat2.exe:*:Enabled:Wimpomat 2.0 -- (Andreas Soraru) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{008F9A3A-24A0-408B-AD7F-95C414219A00}" = Adobe Setup "{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner "{0837A661-FEC3-48B3-876C-91E7D32048A9}" = Macromedia Dreamweaver 8 "{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting "{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2274624C-5B38-41AD-AD27-CEC0924EB628}" = Adobe Setup "{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}" = Adobe ExtendScript Toolkit 2 "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21 "{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3 "{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6 "{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1 "{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2 "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{53480280-DE8B-445F-9676-FAE6293E06E5}" = O&O SafeErase "{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3 "{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support "{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}" = Macromedia Extension Manager "{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}" = Adobe Setup "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}" = Adobe Color Common Settings "{6DE13770-01B7-4366-8DA6-48237793F445}" = VoiceOver Kit "{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3 "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings "{7AE25201-3E12-4FA2-9E65-67CD475D9263}" = ACDSee 9 Foto-Manager "{7FF95752-5AD1-4C4A-9785-FAB80E499BB2}_is1" = Wimpomat 2.9 "{80A97464-A741-44B0-8AD6-0C16B1FEF7F6}" = Norton Security Scan "{83d96ed0-98aa-4515-8ddc-816f3efdd104}" = MyDSC2 "{854709F2-D3DD-44CA-A2B2-C4BC9881D177}" = Winklers Lernprogramm 2022 "{8A6FDA71-871C-4F35-9392-A27B7E9B7A54}_is1" = Chess Tutor Step 1 "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver "{8C640345-AF96-4ABA-A697-97D2A0B8C6DB}" = Adobe Flash CS3 "{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3 "{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3 "{9D0BDD42-6564-4E1B-963A-4977A6271DB4}" = Winklers Lernprogramm 2027 "{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime "{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch "{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0 "{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}" = Adobe Setup "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}" = Adobe Flash Player 9 ActiveX "{BCEDD813-269C-4D8F-A4BA-01FDC66254D3}" = Adobe Flash Video Encoder "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C169D3BB-9A27-43F5-9979-09A0D65FE95C}" = SmartFTP Client 2.0 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client "{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files "{DA34FE93-5DC5-48E0-ACC8-A5389E05BB51}" = iTunes "{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings "{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3 "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager "{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0 "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "Adobe Shockwave Player" = Adobe Shockwave Player "Adobe_2225677e524ae91efb80c700be972bf" = Adobe Flash CS3 Professional "Adobe_3e054d2218e7aa282c2369d939e58ff" = Adobe ExtendScript Toolkit 2 "Adobe_6c8e2cb4fd241c55406016127a6ab2e" = Adobe Color Common Settings "Adobe_cbb2ea61da9c780bd7e47a5230a9ed7" = Adobe Stock Photos CS3 "AFPL Ghostscript 8.53" = AFPL Ghostscript 8.53 "AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts "AutoBauDeinstKey" = Autos bauen mit Willy Werkel "Avira AntiVir Desktop" = Avira AntiVir Premium "B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind "Digitale Bibliothek 3" = Digitale Bibliothek 3 "eMule" = eMule "FileZilla" = FileZilla (remove only) "FileZilla Client" = FileZilla Client 3.2.4.1 "Google Updater" = Google Updater "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "IrfanView" = IrfanView (remove only) "IsoBuster_is1" = IsoBuster 2.1 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero - Burning Rom!UninstallKey" = Nero 6 Enterprise Edition "NeroVision!UninstallKey" = Nero Digital "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "NSS" = Norton Security Scan "Orb" = Winamp Remote "ProtectDisc Driver" = ProtectDisc Helper Driver "RealPlayer 12.0" = RealPlayer "SmartFTP Client 2.0 Setup Files" = SmartFTP Client 2.0 Setup Files (remove only) "TrainIt 1" = TrainIt 1 "VLC media player" = VLC media player 1.0.2 "WIC" = Windows Imaging Component "Winamp" = Winamp "Winamp Toolbar" = Winamp Toolbar "Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WinRAR archiver" = WinRAR "Wise Registry Cleaner_is1" = Wise Registry Cleaner Free 5.51 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== Last 10 Event Log Errors ========== |
|
16.08.2010, 13:47
| #10 |
| | Hijack-This Ergebnis - Auswertung möglich? Teil 2: [ Application Events ] Error - 14.8.2010 04:38:20 | Computer Name = MAXDATA | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.6565.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 14.8.2010 15:14:18 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.dow nload.window supdate.com/msdownload/update/v3/static/trustedr/en/authroots eq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 14.8.2010 15:14:18 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.download.w indowsupdate.com/msd ownload/update/v3/static/trustedr/en/auth rootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 15.8.2010 07:29:02 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.download.windo wsupdate.com/msdownlo ad/up date/v3/static/trustedr/en/authr ootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 15.8.2010 07:29:02 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.dow nload.window supdate.com/msdow nload/u pdate/v3/static/trustedr/en/authr ootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 15.8.2010 12:32:21 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.d ownload.windows update.com/msdo wnload/upda te/v3/static/trustedr/en/authr ootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 15.8.2010 12:32:21 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.dow nload.windows update.com/ms download/upda te/v3/static/truste dr/en/authroot seq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 15.8.2010 15:31:59 | Computer Name = MAXDATA | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3855, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x00001010. Error - 16.8.2010 03:52:31 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.downloa d.windowsup date.com/msd ownload/up date/v3/static/trustedr/en/au throotseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 16.8.2010 03:52:31 | Computer Name = MAXDATA | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://ww w.downlo ad.windowsu pdate.com/ms download/update/v3/static/trustedr/en/authro otseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . [ System Events ] Error - 12.8.2010 06:11:17 | Computer Name = MAXDATA | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 12.8.2010 06:11:17 | Computer Name = MAXDATA | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 12.8.2010 06:13:08 | Computer Name = MAXDATA | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Konfigurationsfreie drahtlose Verbindung" ist vom Dienst "NDIS-Benutzermodus-E/A-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 12.8.2010 06:13:08 | Computer Name = MAXDATA | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Lavasoft Ad-Aware Service" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 12.8.2010 10:17:54 | Computer Name = MAXDATA | Source = Service Control Manager | ID = 7034 Description = Dienst "iPod Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 13.8.2010 03:22:29 | Computer Name = MAXDATA | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 13.8.2010 03:22:29 | Computer Name = MAXDATA | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 13.8.2010 03:24:05 | Computer Name = MAXDATA | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Konfigurationsfreie drahtlose Verbindung" ist vom Dienst "NDIS-Benutzermodus-E/A-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 13.8.2010 03:24:05 | Computer Name = MAXDATA | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Lavasoft Ad-Aware Service" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 13.8.2010 03:25:07 | Computer Name = MAXDATA | Source = DCOM | ID = 10010 Description = Der Server "{B69003B3-C55E-4B48-836C-BC5946FC3B28}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. < End of report > |
|
16.08.2010, 16:46
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hijack-This Ergebnis - Auswertung möglich? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
[2010.08.16 14:09:39 | 000,000,286 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-606747145-261903793-682003330-500.job
[2010.08.16 14:09:31 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2010, 17:41
| #12 |
| | Hijack-This Ergebnis - Auswertung möglich? Vielen Dank für die umfangreiche Hilfe! Ich habe nun die Anweisung befolgt und hier ist das Log: All processes killed ========== OTL ========== C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-606747145-261903793-682003330-500.job moved successfully. C:\WINDOWS\tasks\SA.DAT moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 36101343 bytes ->Temporary Internet Files folder emptied: 31064312 bytes ->Java cache emptied: 120926739 bytes ->FireFox cache emptied: 73029956 bytes ->Apple Safari cache emptied: 39173120 bytes ->Opera cache emptied: 30837844 bytes ->Flash cache emptied: 1990310 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 321244 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 15910530 bytes ->Java cache emptied: 4649 bytes ->Flash cache emptied: 5082 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2610966 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4269493 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 340,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08162010_183130 Files\Folders moved on Reboot... LG S. |
|
16.08.2010, 17:52
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hijack-This Ergebnis - Auswertung möglich? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2010, 21:29
| #14 |
| | Hijack-This Ergebnis - Auswertung möglich? Hallo, es war nicht so einfach, das Antivirusprogramm abzuschalten - erst als alle Prozesse wirklich nicht mehr im Hintergrung liefen, hat es endlich geklappt. Und hier der Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-08-15.04 - Administrator 16.08.2010 22:05:52.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.503.281 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system\Color
Infizierte Kopie von c:\windows\system32\drivers\cdrom.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-16 bis 2010-08-16 ))))))))))))))))))))))))))))))
.
2010-08-16 19:25 . 2010-08-16 19:31 -------- d-----w- C:\cofi22567c
2010-08-16 19:18 . 2010-08-16 19:24 -------- d-----w- C:\cofi28098c
2010-08-16 19:00 . 2010-08-16 19:15 -------- d-----w- C:\cofi7691c
2010-08-16 18:56 . 2010-08-16 18:59 -------- d-----w- C:\cofi7895c
2010-08-16 17:26 . 2010-08-16 17:26 -------- d-----w- c:\programme\CCleaner
2010-08-16 16:31 . 2010-08-16 16:31 -------- d-----w- C:\_OTL
2010-08-16 08:21 . 2010-08-16 08:21 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-08-16 08:20 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-16 08:20 . 2010-08-16 08:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-16 08:20 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-16 08:20 . 2010-08-16 08:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-16 08:14 . 2010-05-31 14:34 702120 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-08-16 08:14 . 2010-05-31 14:34 868456 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-08-13 16:59 . 2010-08-13 16:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TrojanHunter
2010-08-13 16:54 . 2010-08-14 07:13 -------- d-----w- c:\programme\TrojanHunter 5.3
2010-08-12 10:19 . 2010-08-12 10:20 -------- d-----w- c:\programme\Wimpomat2
2010-08-09 12:04 . 2010-08-09 12:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-09 11:55 . 2010-08-09 12:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-09 11:49 . 2010-08-16 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-09 11:49 . 2010-08-13 07:21 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-08-09 09:25 . 2010-08-09 09:25 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue
2010-08-09 09:09 . 2004-08-03 22:57 9728 ------w- c:\windows\system32\rwnh.dll
2010-08-09 09:09 . 2004-08-03 21:08 40832 ------w- c:\windows\system32\drivers\irbus.sys
2010-08-09 09:09 . 2004-08-03 20:59 9728 ------w- c:\windows\system32\comsdupd.exe
2010-08-09 09:02 . 2010-08-09 09:02 -------- d-----w- c:\windows\ServicePackFiles
2010-08-09 08:18 . 2010-08-09 08:18 61440 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7a265502-n\decora-sse.dll
2010-08-09 08:18 . 2010-08-09 08:18 12800 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7a265502-n\decora-d3d.dll
2010-08-09 08:18 . 2010-08-09 08:18 503808 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-75f4ee8f-n\msvcp71.dll
2010-08-09 08:18 . 2010-08-09 08:18 499712 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-75f4ee8f-n\jmc.dll
2010-08-09 08:18 . 2010-08-09 08:18 348160 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-75f4ee8f-n\msvcr71.dll
2010-08-09 08:17 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-08-07 18:39 . 2010-08-12 13:37 -------- d-----w- c:\windows\system32\NtmsData
2010-08-07 18:34 . 2010-08-07 18:34 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 16:27 . 2007-03-10 18:04 73760 -c--a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-16 14:38 . 2009-11-18 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-08-15 20:31 . 2007-03-20 14:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Protexis
2010-08-15 19:53 . 2009-01-06 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-08-12 10:20 . 2008-08-27 08:38 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Wimpomat2
2010-08-11 14:00 . 2007-12-21 14:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2010-08-09 11:29 . 2007-10-10 19:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-08-09 11:03 . 2008-02-26 17:57 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Iles
2010-08-09 08:18 . 2007-01-18 21:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-09 08:17 . 2007-01-18 21:14 -------- d-----w- c:\programme\Java
2010-08-08 19:19 . 2007-08-28 14:07 -------- d-----w- c:\programme\Bonjour
2010-08-07 22:05 . 2010-08-09 09:27 186266 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-07 18:30 . 2009-11-02 08:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-07 18:26 . 2009-11-02 08:55 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-07 18:26 . 2009-11-02 08:55 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-08-07 18:26 . 2009-11-02 08:55 17016 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-08-07 18:26 . 2009-11-02 08:55 51992 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-08-05 19:09 . 2010-07-16 19:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\QuickScan
2010-08-03 21:02 . 2007-01-18 21:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-07-31 21:54 . 2007-05-09 06:13 -------- d-----w- c:\programme\OpenOffice.org 2.2
2010-07-12 07:51 . 2009-03-06 09:31 -------- d-----w- c:\programme\Safari
2010-07-12 07:47 . 2007-05-04 21:30 -------- d-----w- c:\programme\eMailTrackerPro 2007
2010-07-12 07:47 . 2007-03-10 20:12 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-07-12 07:47 . 2007-03-10 20:12 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-05 19:18 . 2010-07-05 19:18 -------- d-----w- c:\programme\igt
2005-10-25 18:17 . 2007-01-18 21:23 86016 ----a-w- c:\programme\uninstgs.exe
2007-08-07 15:49 . 2007-03-20 15:17 88 --sh--r- c:\windows\system32\2433387E19.sys
2007-08-07 19:05 . 2007-03-20 14:15 2516 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
------- Sigcheck -------
[-] 2006-10-23 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-08-15 118784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-07 282792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-05-11 202256]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-21 305440]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BufferZoneSvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Wimpomat2\\Wimpomat2.exe"=
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18.6.2007 15:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30.5.2007 18:54 201696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2.11.2009 10:55 135336]
S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [7.8.2010 20:30 337064]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [7.8.2010 20:30 405672]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programme\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programme\Lavasoft\Ad-Aware\AAWService.exe [?]
.
Inhalt des "geplante Tasks" Ordners
2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-06 10:15]
2010-08-02 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-606747145-261903793-682003330-500.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\5n6hsskc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-RegistryBooster - c:\programme\Uniblue\RegistryBooster\launcher.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
HKLM-Run-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 22:13
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(584)
c:\programme\Avira\AntiVir Desktop\avsda.dll
- - - - - - - > 'explorer.exe'(1088)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-16 22:20:23
ComboFix-quarantined-files.txt 2010-08-16 20:20
Vor Suchlauf: 7.264.043.008 Bytes frei
Nach Suchlauf: 7.172.657.152 Bytes frei
- - End Of File - - 83D4DE8E02FC2A2F38E963D6A9FBBF15
Da lerne ich in meinem Alter noch was dazu  LG S. |
|
17.08.2010, 08:43
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hijack-This Ergebnis - Auswertung möglich? Edit: Wir brauchen die beiden Quarantäneordner von Combofix und OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Ordner C:\Qoobox in eine Datei zippen 4.) Beide erstellten ZIP-Dateien hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 5.) Wenns erfolgreich war Bescheid sagen 6.) Erst dann wieder den Virenscanner einschalten Dann kannst hiermit weiter machen: Bitte Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (17.08.2010 um 08:51 Uhr) |
|
| Themen zu Hijack-This Ergebnis - Auswertung möglich? |
| administrator, antivir, auswertung, avg, bonjour, c:\windows\system32\services.exe, dateien, desktop, einstellungen, explorer, falsche seite, firefox, firefox.exe, gesperrt, google, hijack, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logfile, messenger, micro, microsoft, mozilla, notepad.exe, plug-in, programme, sched.exe, system, verweise, viren, windows, windows xp |
Linear-Darstellung
