| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam..Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.08.2010, 11:25
| #1 |
 | !['JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. - Standard](images/icons/icon1.gif){kind=icon} 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. Hallo, habe hier schon viel gelesen, aber ich muss zugeben, das ich ein totaler Neuling in Sachen PC-s bin. Ich bräuchte dringend Eure Hilfe, weil ich allein nicht klar komme. Mein PC ist extrem langsam geworden, Internet funktioniert nur sehr schwer und laaaaangsam. Ich habe Avira AntiVir durchlaufen lassen und folgendes gefunden: 'JAVA/Agent.D' [virus] 'EXP/Java.Agent.BF' Vor etwa 2 Monaten hatte ich auch dieses: TR/Crypt.XPACK.Gen2 Ich habe beides aus der Quarantäne gelöscht. Aber der PC bleibt langsam. Folgender Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 22. August 2010 08:12 Es wird nach 2733576 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ST-C4DB90CBCFDD Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 10.12.2009 13:03:04 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:54:51 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 06:36:50 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:32:15 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:44:06 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:05:07 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:06:25 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 04:53:48 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:06:09 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 13:06:12 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 13:06:12 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 13:06:12 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 13:06:12 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 13:06:12 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 03:45:50 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 19:11:43 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 03:47:13 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 03:47:13 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 03:47:14 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 22:04:05 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 22:04:06 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 22:04:07 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 03:49:58 VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 21:01:51 VBASE023.VDF : 7.10.10.218 2048 Bytes 19.08.2010 21:01:51 VBASE024.VDF : 7.10.10.219 2048 Bytes 19.08.2010 21:01:51 VBASE025.VDF : 7.10.10.220 2048 Bytes 19.08.2010 21:01:51 VBASE026.VDF : 7.10.10.221 2048 Bytes 19.08.2010 21:01:51 VBASE027.VDF : 7.10.10.222 2048 Bytes 19.08.2010 21:01:52 VBASE028.VDF : 7.10.10.223 2048 Bytes 19.08.2010 21:01:52 VBASE029.VDF : 7.10.10.224 2048 Bytes 19.08.2010 21:01:52 VBASE030.VDF : 7.10.10.225 2048 Bytes 19.08.2010 21:01:52 VBASE031.VDF : 7.10.10.239 71680 Bytes 20.08.2010 21:01:52 Engineversion : 8.2.4.38 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 19:11:55 AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30.07.2010 19:11:54 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 04:34:40 AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 09:31:19 AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 03:47:49 AEPACK.DLL : 8.2.3.5 471412 Bytes 09.08.2010 03:47:23 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 03:47:46 AEHEUR.DLL : 8.1.2.15 2859382 Bytes 19.08.2010 03:50:23 AEHELP.DLL : 8.1.13.2 242039 Bytes 22.07.2010 03:47:42 AEGEN.DLL : 8.1.3.19 393587 Bytes 09.08.2010 03:47:16 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 09:31:16 AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 03:47:40 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:31:15 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 10.12.2009 13:03:04 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:10:40 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 10.12.2009 13:03:04 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 22. August 2010 08:12 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '47856' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PcfMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Gear511.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TIWLANCu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stacmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '31' Prozesse mit '31' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '50' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\57832b40-688f7d17 [0] Archivtyp: ZIP --> quote/Mailvue.class [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Agent.BF C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\177567d1-79eea214 [0] Archivtyp: ZIP --> Brealizer.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.D Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\57832b40-688f7d17 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\177567d1-79eea214 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. Ende des Suchlaufs: Sonntag, 22. August 2010 09:28 Benötigte Zeit: 1:15:08 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 5992 Verzeichnisse wurden überprüft 201632 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 201629 Dateien ohne Befall 804 Archive wurden durchsucht 3 Warnungen 3 Hinweise 47856 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Folgender Report nach Löschen der Viren: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 23. August 2010 18:28 Es wird nach 2735687 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ST-C4DB90CBCFDD Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 10.12.2009 13:03:04 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:54:51 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 06:36:50 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:32:15 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:44:06 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:05:07 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:06:25 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 04:53:48 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:06:09 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 13:06:12 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 13:06:12 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 13:06:12 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 13:06:12 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 13:06:12 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 03:45:50 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 19:11:43 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 03:47:13 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 03:47:13 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 03:47:14 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 22:04:05 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 22:04:06 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 22:04:07 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 03:49:58 VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 21:01:51 VBASE023.VDF : 7.10.10.218 2048 Bytes 19.08.2010 21:01:51 VBASE024.VDF : 7.10.10.219 2048 Bytes 19.08.2010 21:01:51 VBASE025.VDF : 7.10.10.220 2048 Bytes 19.08.2010 21:01:51 VBASE026.VDF : 7.10.10.221 2048 Bytes 19.08.2010 21:01:51 VBASE027.VDF : 7.10.10.222 2048 Bytes 19.08.2010 21:01:52 VBASE028.VDF : 7.10.10.223 2048 Bytes 19.08.2010 21:01:52 VBASE029.VDF : 7.10.10.224 2048 Bytes 19.08.2010 21:01:52 VBASE030.VDF : 7.10.10.225 2048 Bytes 19.08.2010 21:01:52 VBASE031.VDF : 7.10.10.241 99840 Bytes 22.08.2010 03:58:02 Engineversion : 8.2.4.38 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 19:11:55 AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30.07.2010 19:11:54 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 04:34:40 AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 09:31:19 AERDL.DLL : 8.1.8.2 614772 Bytes 22.07.2010 03:47:49 AEPACK.DLL : 8.2.3.5 471412 Bytes 09.08.2010 03:47:23 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 03:47:46 AEHEUR.DLL : 8.1.2.15 2859382 Bytes 19.08.2010 03:50:23 AEHELP.DLL : 8.1.13.2 242039 Bytes 22.07.2010 03:47:42 AEGEN.DLL : 8.1.3.19 393587 Bytes 09.08.2010 03:47:16 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 09:31:16 AECORE.DLL : 8.1.16.2 192887 Bytes 22.07.2010 03:47:40 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:31:15 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 10.12.2009 13:03:04 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:10:40 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 10.12.2009 13:03:04 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: ignorieren Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 23. August 2010 18:28 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '48226' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PcfMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Gear511.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TIWLANCu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stacmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '50' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Ende des Suchlaufs: Montag, 23. August 2010 19:35 Benötigte Zeit: 1:07:45 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6028 Verzeichnisse wurden überprüft 202032 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 202031 Dateien ohne Befall 798 Archive wurden durchsucht 1 Warnungen 1 Hinweise 48226 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Wie gesagt, der PC bleibt langsam, bleibt oft hängen, was könnte das sein?? Auf Hilfe hoffend.... Ina :-) Geändert von Inchen76 (24.08.2010 um 11:31 Uhr) |
|
24.08.2010, 11:30
| #2 |
| /// Malware-holic   | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. ootl:
__________________Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide logs |
|
24.08.2010, 12:59
| #3 |
| | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. Hallo,
__________________vielen Dank für die schnelle Antwort. Ich scanne jetzt durch und stelle die Reports rein. Liebe Grüsse Ina |
|
24.08.2010, 13:05
| #4 |
| | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. So, nun ist er durch:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 24.08.2010 13:57:51 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
509,00 Mb Total Physical Memory | 231,00 Mb Available Physical Memory | 45,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 106,87 Gb Free Space | 71,70% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 967,72 Mb Total Space | 1,36 Mb Free Space | 0,14% Space Free | Partition Type: FAT
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ST-C4DB90CBCFDD
Current User Name: Dr.Michael Heitmann
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (All) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.chm [@ = chm.file] -- C:\WINDOWS\hh.exe (Microsoft Corporation)
.cpl [@ = cplfile] -- C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\WINDOWS\System32\winhlp32.exe (Microsoft Corporation)
.hta [@ = htafile] -- C:\WINDOWS\System32\mshta.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
.inf [@ = inffile] -- C:\WINDOWS\System32\NOTEPAD.EXE (Microsoft Corporation)
.ini [@ = inifile] -- C:\WINDOWS\System32\NOTEPAD.EXE (Microsoft Corporation)
.url [@ = InternetShortcut] -- C:\WINDOWS\System32\shdocvw.dll (Microsoft Corporation)
.js [@ = JSFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
.reg [@ = regfile] -- C:\WINDOWS\regedit.exe (Microsoft Corporation)
.txt [@ = txtfile] -- C:\WINDOWS\System32\NOTEPAD.EXE (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
.wsh [@ = WSHFile] -- C:\WINDOWS\System32\WScript.exe (Microsoft Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
batfile [open] -- "%1" %*
batfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %*
cmdfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- winhlp32.exe %1 (Microsoft Corporation)
hlpfile [open] -- %SystemRoot%\System32\winhlp32.exe %1 (Microsoft Corporation)
htafile [open] -- C:\WINDOWS\system32\mshta.exe "%1" %* (Microsoft Corporation)
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation)
inffile [open] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
inffile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
inifile [open] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
inifile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
jsfile [edit] -- %SystemRoot%\System32\Notepad.exe %1 (Microsoft Corporation)
jsfile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsfile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 (Microsoft Corporation)
jsefile [edit] -- %SystemRoot%\System32\Notepad.exe %1 (Microsoft Corporation)
jsefile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsefile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [edit] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
regfile [open] -- regedit.exe "%1" (Microsoft Corporation)
regfile [merge] -- Reg Error: Key error.
regfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
txtfile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
txtfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
txtfile [printto] -- %SystemRoot%\system32\notepad.exe /pt "%1" "%2" "%3" "%4" (Microsoft Corporation)
vbefile [edit] -- %SystemRoot%\System32\Notepad.exe %1 (Microsoft Corporation)
vbefile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
vbefile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 (Microsoft Corporation)
vbsfile [edit] -- %SystemRoot%\System32\Notepad.exe %1 (Microsoft Corporation)
vbsfile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
vbsfile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 (Microsoft Corporation)
wsffile [edit] -- %SystemRoot%\System32\Notepad.exe %1 (Microsoft Corporation)
wsffile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
wsffile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 (Microsoft Corporation)
wshfile [open] -- %SystemRoot%\System32\WScript.exe "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- (Apple Inc.)
"C:\Programme\IncrediMail\bin\ImApp.exe" = C:\Programme\IncrediMail\bin\ImApp.exe:*:Enabled:IncrediMail -- File not found
"C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail -- File not found
"C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail -- File not found
"C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Lokale Einstellungen\Temp\ImInstaller\incredimail_installer.exe" = C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Lokale Einstellungen\Temp\ImInstaller\incredimail_installer.exe:*:Enabled:IncrediMail Installer -- (IncrediMail Ltd.)
"D:\fsetup.exe" = D:\fsetup.exe:*:Enabled:AVM FSetup Application -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{02DFF6B1-1654-411C-8D7B-FD6052EF016F}" = Apple Software Update
"{07DEC7A1-F8D2-4DBB-900B-A2F9302647BB}" = Wireless LAN Utility
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java(TM) 6 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35B91753-5789-4517-9CF1-2CCE3A8CF4F1}" = Apple Mobile Device Support
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{6990A2BF-D1D2-11D3-81BC-00609789C908}" = Sony Video Shared Library
"{69A0D256-A72C-4C33-9413-E1C0174CA7F4}" = C-Major Audio
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{936FADC9-C609-471A-B6F2-A33E2E660D1A}" = Sony Notebook Setup
"{951F4D78-5DD8-78A5-09E2-A7411A441031}" = Nero 7 Demo
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{C9D20484-D3CC-4CD2-B1ED-B72A9CEFD45D}" = NETGEAR 108 Mbps Wireless PC Card WG511T
"{DCB53CB5-E82D-4F5E-BFE2-CBB200E19BEF}" = PowerPanel
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{EC1F15E1-F3CC-46EE-B7A5-849A08ED60DC}}_is1" = PantsOff 2.0
"{EF3D45BB-2260-4008-88EA-492E7744A9DF}" = Sony Utilities DLL
"{EF6C4600-306D-4F6A-A119-C2A877D25B4A}" = iTunes
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"CNXT_MODEM_PCI_VEN_1039&DEV_7013&SUBSYS_814E104D" = SoftK56 Data Fax
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA" = NVIDIA Windows 2000/XP Display Drivers
"Picasa 3" = Picasa 3
"ShockwaveFlash" = Macromedia Flash Player 8
"Softonic_Deutsch Toolbar" = Softonic_Deutsch Toolbar
"VLC media player" = VideoLAN VLC media player 0.8.6e
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 31.07.2010 01:58:31 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 31.07.2010 16:08:08 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 31.07.2010 17:22:38 | Computer Name = ST-C4DB90CBCFDD | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 31.07.2010 17:22:38 | Computer Name = ST-C4DB90CBCFDD | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 01.08.2010 02:07:07 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 08.08.2010 23:44:49 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 15.08.2010 18:01:47 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 15.08.2010 23:44:37 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 18.08.2010 23:47:42 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
Error - 21.08.2010 16:59:18 | Computer Name = ST-C4DB90CBCFDD | Source = Google Update | ID = 20
Description =
[ System Events ]
Error - 21.08.2010 17:00:40 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 22.08.2010 01:26:43 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 22.08.2010 01:41:41 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 22.08.2010 03:30:18 | Computer Name = ST-C4DB90CBCFDD | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
Transaktion durchzuführen.
Error - 22.08.2010 03:31:35 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 22.08.2010 23:57:00 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 23.08.2010 07:40:05 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 23.08.2010 12:06:40 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 24.08.2010 04:10:06 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 24.08.2010 07:49:30 | Computer Name = ST-C4DB90CBCFDD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Netgear Wireless Domain Login Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
< End of report >
______________________________________________________ OTL Logfile: Code:
ATTFilter OTL logfile created on: 24.08.2010 13:57:51 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 509,00 Mb Total Physical Memory | 231,00 Mb Available Physical Memory | 45,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 106,87 Gb Free Space | 71,70% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 967,72 Mb Total Space | 1,36 Mb Free Space | 0,14% Space Free | Partition Type: FAT F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: ST-C4DB90CBCFDD Current User Name: Dr.Michael Heitmann Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe ( ) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe () PRC - C:\Programme\powerpanel\Program\PcfMgr.exe (Phoenix Technologies Ltd.) PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) PRC - C:\Programme\SigmaTel\C-Major Audio\stacmon.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\cabinet.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (NWDLS) -- C:\WINDOWS\System32\NWDLS.exe File not found SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin) SRV - (tiwlnsvc) -- C:\Programme\Wirelwss LAN Utility\tiwlnsvc.exe () SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (NETGEAR_WG511_SERVICE) -- C:\WINDOWS\system32\drivers\wg511nd5.sys (Atheros Communications, Inc.) DRV - (AWINDIS5) -- C:\WINDOWS\system32\AWINDIS5.SYS (AMBIT Microsystems Corporation.) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (TNET1130) -- C:\WINDOWS\system32\drivers\TNET1130.sys (Texas Instruments) DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation) DRV - (HSFHWSIS) -- C:\WINDOWS\system32\drivers\HSFHWSIS.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (STAC97) Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.) DRV - (SISAGP) -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation) DRV - (SPI) -- C:\WINDOWS\system32\drivers\SonyPI.sys (Sony Corporation) DRV - (SNC) -- C:\WINDOWS\system32\drivers\SonyNC.sys (Sony Corporation) DRV - (DMICall) -- C:\WINDOWS\system32\drivers\DMICall.sys (Sony Corporation) ========== Standard Registry (All) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tibeter-forum.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\URLSearchHook: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof1.dll (Conduit Ltd.) IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\shdocvw.dll (Microsoft Corporation) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "MyStart Suche" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_Deutsch Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q=" FF - prefs.js..browser.search.selectedEngine: "Softonic_Deutsch Customized Web Search" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}:6.0.06 FF - prefs.js..extensions.enabledItems: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c}:2.0.0.59 FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.19 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=2&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.02 19:48:59 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.31 14:17:56 | 000,000,000 | ---D | M] [2008.12.07 16:00:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Extensions [2008.12.07 16:00:46 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} [2010.08.23 13:58:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Firefox\Profiles\arygffme.default\extensions [2009.04.01 10:01:18 | 000,000,000 | ---D | M] (Softonic Deutsch Toolbar) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Firefox\Profiles\arygffme.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} [2008.10.28 14:20:30 | 000,000,894 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Firefox\Profiles\arygffme.default\searchplugins\conduit.xml [2008.08.21 17:06:09 | 000,002,133 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla\Firefox\Profiles\arygffme.default\searchplugins\MyStart Search.xml [2010.08.23 13:58:44 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.31 14:17:56 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [2008.12.16 15:19:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} [2010.03.31 14:17:46 | 000,023,000 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browserdirprovider.dll [2010.03.31 14:17:46 | 000,134,616 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\brwsrcmp.dll [2008.03.19 19:23:20 | 000,114,688 | ---- | M] (Adobe Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\np32dsw.dll [2010.03.31 14:17:50 | 000,065,496 | ---- | M] (mozilla.org) -- C:\Programme\Mozilla Firefox\plugins\npnul32.dll [2007.03.22 19:23:30 | 000,017,248 | ---- | M] (Microsoft Corporation) -- C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL [2006.12.18 04:18:30 | 000,077,824 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Mozilla Firefox\plugins\nppdf32.dll [2009.03.08 15:10:22 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.03.08 15:10:22 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.03.08 15:10:22 | 000,001,706 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google.xml [2009.03.08 15:10:22 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.03.08 15:10:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.03.08 15:10:22 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\ShellBrowser: (Softonic Deutsch Toolbar) - {8DBB6D8E-E4A6-4E3B-9753-AF78B226441C} - C:\Programme\Softonic_Deutsch\tbSof1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Softonic Deutsch Toolbar) - {8DBB6D8E-E4A6-4E3B-9753-AF78B226441C} - C:\Programme\Softonic_Deutsch\tbSof1.dll (Conduit Ltd.) O4 - HKLM..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility.\Gear511.exe ( ) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe () O4 - HKLM..\Run: [TI WLAN] C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe () O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation) O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PowerPanel.lnk = C:\Programme\powerpanel\Program\PcfMgr.exe (Phoenix Technologies Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll (Sun Microsystems, Inc.) O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000002 [] - C:\WINDOWS\system32\winrnr.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation) O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Local intranet) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205860255109 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation) O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation) O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll (Microsoft Corporation) O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp - No CLSID value found O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation) O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll (Microsoft Corporation) O18 - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: UIHost - (logonui.exe) - C:\WINDOWS\System32\logonui.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (rundll32 shell32) - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - C:\WINDOWS\System32\sysdm.cpl (Microsoft Corporation) O20 - Winlogon\Notify\crypt32chain: DllName - crypt32.dll - C:\WINDOWS\System32\crypt32.dll (Microsoft Corporation) O20 - Winlogon\Notify\cryptnet: DllName - cryptnet.dll - C:\WINDOWS\System32\cryptnet.dll (Microsoft Corporation) O20 - Winlogon\Notify\cscdll: DllName - cscdll.dll - C:\WINDOWS\System32\cscdll.dll (Microsoft Corporation) O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\sclgntfy: DllName - sclgntfy.dll - C:\WINDOWS\System32\sclgntfy.dll (Microsoft Corporation) O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\termsrv: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation) O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation) O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation) O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll (Microsoft Corporation) O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation) O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation) O24 - Desktop Components:0 () - file:///C:/Dokumente%20und%20Einstellungen/Dr.Michael%20Heitmann/Eigene%20Dateien/ALT/Dokumente/Marienstift%20Anna-Lena-Dateien/d00275333f.jpg O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (msapsspc.dll) - C:\WINDOWS\System32\msapsspc.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (schannel.dll) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (digest.dll) - C:\WINDOWS\System32\digest.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (msnsspc.dll) - C:\WINDOWS\System32\msnsspc.dll (Microsoft Corporation) O30 - LSA: Authentication Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation) O30 - LSA: Security Packages - (kerberos) - C:\WINDOWS\System32\kerberos.dll (Microsoft Corporation) O30 - LSA: Security Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation) O30 - LSA: Security Packages - (schannel) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation) O30 - LSA: Security Packages - (wdigest) - C:\WINDOWS\System32\wdigest.dll (Microsoft Corporation) O31 - SafeBoot: AlternateShell - cmd.exe O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.03.03 20:57:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{a0e42da6-e95c-11dc-b51c-080046d35b45}\Shell - "" = AutoRun O33 - MountPoints2\{a0e42da6-e95c-11dc-b51c-080046d35b45}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a0e42da6-e95c-11dc-b51c-080046d35b45}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found O33 - MountPoints2\{a0e42da7-e95c-11dc-b51c-080046d35b45}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found O33 - MountPoints2\{a0e42da7-e95c-11dc-b51c-080046d35b45}\Shell\Shell00\Command - "" = G:\Autorun.exe -- File not found O33 - MountPoints2\{a0e42da7-e95c-11dc-b51c-080046d35b45}\Shell\Shell01\Command - "" = G:\Autorun.exe -- File not found O33 - MountPoints2\{a0e42da7-e95c-11dc-b51c-080046d35b45}\Shell\Shell02\Command - "" = G:\Autorun.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.24 12:34:48 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\OTL.exe [2010.08.24 09:59:08 | 000,000,000 | ---D | C] -- C:\07892245a694c39800ba83a8e84eab1d [2010.08.22 09:06:14 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\HJTInstall.exe [2010.08.22 09:01:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.08.22 07:49:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\GTA_69_PATCH_dpgvideos [2010.08.22 07:11:34 | 000,000,000 | ---D | C] -- C:\515669427aecaeb56f13 [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.24 13:47:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.24 13:47:06 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\ntuser.ini [2010.08.24 13:47:05 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\ntuser.dat [2010.08.24 12:34:56 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\OTL.exe [2010.08.24 10:14:58 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2010.08.22 09:06:15 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\HJTInstall.exe [2010.08.22 07:38:49 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.08.22 07:38:04 | 000,000,230 | ---- | M] () -- C:\WINDOWS\System32\spupdsvc.inf [2010.08.22 07:11:07 | 000,000,573 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.21 22:59:04 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.22 07:38:04 | 000,000,230 | ---- | C] () -- C:\WINDOWS\System32\spupdsvc.inf [2009.12.07 23:53:37 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\kill.dll [2009.10.28 13:47:21 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini [2008.03.22 21:43:50 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2008.03.22 18:48:36 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.03.22 18:44:18 | 000,032,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.03.03 21:40:48 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.03.03 21:28:15 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\TnetWCoInst.dll [2008.03.03 21:23:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PcfEdit.INI [2008.03.03 21:08:03 | 000,002,165 | ---- | C] () -- C:\WINDOWS\WINCMD.INI [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002.03.17 02:00:00 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000096.DLL ========== LOP Check ========== [2008.08.21 17:07:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM [2008.08.21 17:06:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail [2008.12.16 20:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2008.10.28 02:00:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Baoxsu [2009.04.03 20:31:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\bhv-Edu [2009.11.12 01:31:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Iwok [2008.03.03 20:53:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Micrografx [2008.09.14 10:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Opera [2010.08.24 10:14:58 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2008.09.08 13:10:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Adobe [2009.05.01 04:30:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\AdobeUM [2008.03.03 21:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Ahead [2008.11.16 08:12:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Apple Computer [2008.10.28 02:00:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Baoxsu [2009.04.03 20:31:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\bhv-Edu [2008.11.12 15:06:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\DivX [2010.05.12 12:35:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Google [2008.08.08 10:54:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Help [2008.03.03 21:03:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Identities [2009.11.12 01:31:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Iwok [2008.03.03 22:21:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Macromedia [2008.03.03 20:53:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Micrografx [2009.10.19 19:15:08 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Microsoft [2008.12.07 16:00:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Mozilla [2008.09.14 10:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Opera [2008.03.03 21:23:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sony Corporation [2009.01.13 08:16:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Sun [2008.03.18 19:38:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Talkback [2008.03.03 22:07:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\U3 [2008.03.03 21:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\vlc < %APPDATA%\*.exe /s > [2008.07.19 18:23:09 | 022,319,360 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr710_de_DE.exe [2007.06.28 17:26:02 | 000,110,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\U3\temp\cleanup.exe [2007.06.28 17:21:08 | 003,096,576 | -H-- | M] (SanDisk Corporation) -- C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Anwendungsdaten\U3\temp\Launchpad Removal.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\atapi.sys [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\eventlog.dll [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\netlogon.dll [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\dllcache\netlogon.dll [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\scecli.dll [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll [2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\system32\dllcache\user32.dll [2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\system32\user32.dll [2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll [2004.08.04 00:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll [2007.03.08 17:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\userinit.exe [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe [2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe < MD5 for: WS2IFSL.SYS > [2001.08.18 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2001.08.18 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2002.09.02 02:15:12 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2002.09.02 02:15:12 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2002.09.02 02:15:12 | 000,425,984 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > Liebe Grüsse |
|
24.08.2010, 13:09
| #5 |
| /// Malware-holic | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. hmm in deinen logs sehe ich keinen aktiven virenscanner? läuft denn überhaupt einer? http://www.trojaner-board.de/74908-a...t-scanner.html poste ein GMER log. |
|
24.08.2010, 13:13
| #6 |
| | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. Doch, lief, aber ich habe ihn vor dem Scan rausgenommen, weil der Scan von OTL fast garnicht lief. Danach ging es wie geschmiert. Das installiere ich nachher wieder drauf. War das nich |
|
24.08.2010, 19:12
| #9 |
| /// Malware-holic | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. hmm eigendlich sollte es sich nicht selbst schließen. wir versuchen ein anderes: http://ad13.geekstogo.com/RootRepeal_beta.exe doppelklicke das programm klicke auf report und scan,hake an: Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT klicke ok nun wirst du gefragt welches laufwerk, klicke c: klicke ok. wenn fertig, wähle safe report speichere das log als RootRepeal.txt auf dem desktop poste den inhalt. |
|
24.08.2010, 19:49
| #10 |
| | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. Das hat geklappt, und so schnell :-): ROOTREPEAL (c) AD, 2007-2010 ================================================== Report Save Time: 2010/08/24 20:40 Program Version: Version 2.0.0.0 Windows Version: Windows XP SP2 ================================================== DRIVERS ------------------- File Invisible dump_atapi.sys 0xf6a9a000 C:\WINDOWS\System32\Drivers\dump_atapi.sys, 98304 bytes File Invisible dump_WMILIB.SYS 0xf8a5c000 C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS, 8192 bytes File Invisible rootrepeal.sys 0xf1aff000 C:\WINDOWS\system32\drivers\rootrepeal.sys, 49152 bytes PROCESSES ------------------- 4 - System 132 - C:\WINDOWS\system32\ctfmon.exe 344 - C:\Programme\powerpanel\Program\PcfMgr.exe 476 - C:\WINDOWS\system32\smss.exe 524 - C:\WINDOWS\system32\csrss.exe 552 - C:\WINDOWS\system32\winlogon.exe 596 - C:\WINDOWS\system32\services.exe 608 - C:\WINDOWS\system32\lsass.exe 768 - C:\WINDOWS\system32\svchost.exe 816 - C:\WINDOWS\system32\svchost.exe 856 - C:\WINDOWS\system32\svchost.exe 904 - C:\WINDOWS\system32\svchost.exe 960 - C:\WINDOWS\system32\svchost.exe 1012 - C:\WINDOWS\system32\svchost.exe 1128 - C:\WINDOWS\system32\spoolsv.exe 1200 - C:\WINDOWS\system32\svchost.exe 1260 - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 1300 - C:\WINDOWS\system32\nvsvc32.exe 1352 - C:\WINDOWS\system32\svchost.exe 1604 - C:\WINDOWS\system32\wuauclt.exe 1684 - C:\WINDOWS\explorer.exe 1852 - C:\WINDOWS\system32\alg.exe 1932 - C:\Programme\SigmaTel\C-Major Audio\stacmon.exe 1956 - C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe 2012 - C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe 3656 - C:\Dokumente und Einstellungen\Dr.Michael Heitmann\Desktop\RootRepeal_beta.exe FILES ------------------- STEALTH CODE ------------------- HIDDEN SERVICES ------------------- SSDT ------------------- SYSCALL OK, INT 0x2E OK, ServiceTable OK, Driver IAT OK SHADOW SSDT ------------------- CALLBACKS ------------------- |
|
24.08.2010, 19:55
| #11 |
| /// Malware-holic | 'JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam.. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
!['JAVA/Agent.D' [virus] und 'EXP/Java.Agent.BF' --- Notebook extrem laaaangsam..](iconimages/plagegeister-aller-art-deren-bekaempfung/java-agent-d-virus-exp-java-agent-bf-notebook-extrem-laaaangsam_ltr.gif)
Linear-Darstellung
