| |
| |||||||
Log-Analyse und Auswertung: services.exe öffnet dutzende TCP-Verbindungen - Hijack LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.08.2010, 15:15
| #1 |
| |  services.exe öffnet dutzende TCP-Verbindungen - Hijack Log Hallo, ich hab mir irgendwas eingefangen...die Datei services.exe öffnet dutzende TCP-Verbindungen, und blockiert so das gesamte Netzwerk  Google brachte mir Hinweise auf diverse Würmer/Malware - ich hab den Rechner nun mit - Avira - Norton Antivirus - Panda - MWAV gescannt, ohne nennenswerten Erfolg. Avira, Norton und Panda fanden überhaupt nichts. Ja, ich habe alle Dateien und Laufwerke durchsuchen lassen. MWAV fand laut Log das folgende: 29 Aug 2010 13:16:39 - Vom Benutzer gewählte Optionen: 29 Aug 2010 13:16:39 - Speicherüberprüfung: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung der Registrierungsdatenbank: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung des Startordners: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung des Systemordners: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung der Dienste: Aktiviert 29 Aug 2010 13:16:39 - Scannen Spyware: Aktiviert 29 Aug 2010 13:16:39 - Option "Überprüfung der Laufwerke" deaktiviert 29 Aug 2010 13:16:39 - Überprüfung der Ordner: Deaktiviert 29 Aug 2010 13:16:39 - SCAN: All_Files 29 Aug 2010 13:16:39 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware) 29 Aug 2010 13:16:39 - ***** Speicherdateien werden gescannt ***** 29 Aug 2010 13:16:54 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry StubPath = C:\WINXP\system32\WinDir\svchost.exe (in key HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{3U54D0HK-76GN-UB16-7117-XR2M8877K84J}). Action Taken: Removing it. 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry Policies = C:\WINXP\system32\WinDir\svchost.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it. 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry Policies = C:\WINXP\system32\WinDir\svchost.exe (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it. 29 Aug 2010 13:16:59 - ***** Startordner werden gescannt ***** 29 Aug 2010 13:17:31 - ***** Dateien bezüglich Dienste werden gescannt ***** 29 Aug 2010 13:17:34 - C:\WINXP\system32\Drivers\sptd.sys konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 29 Aug 2010 13:17:35 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 29 Aug 2010 13:17:36 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\DOKUME~1\DRF704~1.MOR\LOKALE~1\Temp\spydb.avs, Größe: 950519]... 29 Aug 2010 13:17:36 - Indexed Spyware Databases Successfully Created... 29 Aug 2010 13:18:04 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Virus Removal Tool1\unins000.exe 29 Aug 2010 13:18:04 - System found infected with User Account Control (Fake) Spyware/Adware (unins000.exe)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:04 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:04 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\Banner.dll 29 Aug 2010 13:18:04 - System found infected with ABetterInternet Spyware/Adware (Banner.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:04 - Objekt "ABetterInternet Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:05 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\InstallOptions.dll 29 Aug 2010 13:18:05 - System found infected with Uplink Adware (InstallOptions.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:05 - Objekt "Uplink Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:05 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\KillProcDLL.dll 29 Aug 2010 13:18:05 - System found infected with Uplink Adware (KillProcDLL.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:05 - Objekt "Uplink Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:06 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\services.dll 29 Aug 2010 13:18:06 - System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (services.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:06 - Objekt "AntiSpyware Pro XP Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:06 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID 29 Aug 2010 13:18:06 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID)! Action taken: Einträge entfernt. 29 Aug 2010 13:18:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 29 Aug 2010 13:18:07 - System found infected with Orifice2K.plugin Trojan (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)! Action taken: Einträge entfernt. 29 Aug 2010 13:18:07 - Objekt "Orifice2K.plugin Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt. 29 Aug 2010 13:18:07 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 29 Aug 2010 13:18:07 - Clearing Temporary sub-folders as Spyware/Adware found in system... 29 Aug 2010 13:18:08 - Few files will be deleted *ONLY* on reboot... 29 Aug 2010 13:18:08 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 29 Aug 2010 13:18:08 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = about:blank 29 Aug 2010 13:18:08 - ***** System32-Ordner werden gescannt ***** 29 Aug 2010 13:19:06 - ScanFile took 6.94 Secs [C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\kl-install-2010-08-20-22-46-51.log]... 29 Aug 2010 13:19:14 - ScanFile took 7.23 Secs [C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\Microsoft .NET Framework 2.0-KB979909_20100828_105133984-Msi0.txt]... 29 Aug 2010 13:19:21 - *****Auf bestimmte ITW-Viren wird geprüft ***** 29 Aug 2010 13:19:21 - ***** Scannen abgeschlossen ***** 29 Aug 2010 13:19:21 - Zahl der gescannten Objekte: 67981 29 Aug 2010 13:19:21 - Zahl der kritischen Objekte: 6 29 Aug 2010 13:19:21 - Zahl der desinfizierten Objekte: 0 29 Aug 2010 13:19:21 - Zahl der umbenannten Objekte: 0 29 Aug 2010 13:19:21 - Zahl der gelöschten Objekte: 6 29 Aug 2010 13:19:21 - Gesamtzahl der Fehler: 3 29 Aug 2010 13:19:21 - Zeit verstrichen: 00:02:41 29 Aug 2010 13:19:21 - Virendatenbankdatum: 29 Aug 2010 29 Aug 2010 13:19:21 - Virendatenbankzähler: 6290554 29 Aug 2010 13:19:21 - Scannen abgeschlossen. Nun ein Hijackthis, hier kommt das Resultat: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:09:56, on 29.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINXP\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Java\jre6\bin\jqs.exe d:\ElsaWin\bin\LcSvrAdm.exe d:\ElsaWin\bin\LcSvrDba.exe d:\ElsaWin\bin\LcSvrHis.exe d:\ElsaWin\bin\LcSvrPas.exe d:\ElsaWin\bin\LcSvrSaz.exe d:\ElsaWin\bin\VSgate.exe C:\WINXP\Explorer.EXE C:\WINXP\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\DYMO\DYMO Label Software\DLSService.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe d:\ElsaWin\bin\LcSvrAuf.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\DOKUME~1\DRF704~1.MOR\LOKALE~1\Temp\mexe.com C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe c:\programme\avira\antivir desktop\avscan.exe C:\WINXP\system32\dllhost.exe C:\WINXP\system32\dllhost.exe C:\WINXP\System32\vssvc.exe C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [DLSService] "C:\Programme\DYMO\DYMO Label Software\DLSService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: msnmsngr.ink.lnk = C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\DokterWatson.exe O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - d:\ElsaWin\bin\wiProt.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - d:\ElsaWin\bin\LcSvrAdm.exe O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - d:\ElsaWin\bin\LcSvrAuf.exe O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - d:\ElsaWin\bin\LcSvrDba.exe O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - d:\ElsaWin\bin\LcSvrHis.exe O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - d:\ElsaWin\bin\LcSvrPas.exe O23 - Service: ELSA APOSpro Server (LcSvrSaz) - Volkswagen AG - d:\ElsaWin\bin\LcSvrSaz.exe O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - d:\ElsaWin\bin\VSgate.exe -- End of file - 6893 bytes Die Onlineauswertung zeigte mir spontan nichts wirklich eindeutiges, den Ordner C:\Windows gibts bei mir nicht, er heißt tatsächlich C:\WINXP. Hat jemand eine Idee, wie ich diesen Plagegeist loswerde? Internetnutzung ist faktisch unmöglich, nach 30sek. ist das Netzwerk vollkommen überlastet  Soeben lief "eScan" fertig durch, ebenfalls 0 Ergebnisse  |
|
29.08.2010, 21:39
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | services.exe öffnet dutzende TCP-Verbindungen - Hijack Log MWAV/eScan nutzen wir hier schon lange nicht mehr. Hijackthis ist nicht mehr ausreichend.
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
30.08.2010, 07:28
| #3 |
| | services.exe öffnet dutzende TCP-Verbindungen - Hijack Log Hallo Cosinus,
__________________hier zunächst das Log von Malwarebytes AM: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4504 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 30.08.2010 00:16:11 mbam-log-2010-08-30 (00-16-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 289270 Laufzeit: 36 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und hier die gewünschten beiden Logs von OTL: 1. Extras.txt ------------OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 30.08.2010 08:20:15 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 19,37 Gb Free Space | 39,68% Space Free | Partition Type: NTFS
Drive D: | 439,45 Gb Total Space | 403,31 Gb Free Space | 91,78% Space Free | Partition Type: NTFS
Drive E: | 443,22 Gb Total Space | 443,14 Gb Free Space | 99,98% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 634,81 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
I: Drive not present or media not loaded
Computer Name: MORIARTY
Current User Name: Dr. Moriarty
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_USERS\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"UpdatesDisableNotify" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Spiele\Sid Meier's Civilization 4\Civilization4.exe" = D:\Spiele\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 -- (Firaxis Games)
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\FRITZ!\igd_finder.exe" = C:\Programme\FRITZ!\igd_finder.exe:LocalSubNet:Enabled:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe -- ()
"C:\Programme\FRITZ!\FriFax32.exe" = C:\Programme\FRITZ!\FriFax32.exe:*:Enabled:FRITZ!fax -- (AVM Berlin)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\Messenger\Msmsgs.exe" = C:\Programme\Messenger\Msmsgs.exe:*:Enabled:Windows Messenger -- File not found
"C:\Programme\Yello Strom\Yellometer\Yellometer.exe" = C:\Programme\Yello Strom\Yellometer\Yellometer.exe:*:Enabled:Yellometer 2.0 -- (Yello Strom GmbH)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{141C141A-0DB8-E6E5-59AA-27576C20B75D}" = CCC Help English
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1648DB98-AE62-6E92-F418-8A9ECCA078A9}" = Catalyst Control Center Graphics Previews Common
"{17200570-C3A0-DAAB-8232-491FEC0C1DF4}" = Catalyst Control Center Graphics Full Existing
"{17E83691-BC8E-BA2A-DE9B-AE845E1C2457}" = Catalyst Control Center Graphics Light
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36CDA33B-909B-4719-97D1-C4B99309BDC7}" = ATI Parental Control & Encoder
"{3D74A25E-F4A1-DD65-3327-FEE3C85A2565}" = Catalyst Control Center HydraVision Full
"{4377F918-E6C9-4ECA-A7F5-754B310B7ED8}" = Sid Meier's Civilization 4
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{491DD6C9-AAD5-4688-92DC-EF441EB1EEAB}" = Yellometer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56582EEA-3AEF-4D84-8B9D-C87A3CD9250F}" = GetDataBack for NTFS
"{605BE2E8-D0D4-C157-68FD-40A318258E54}" = ccc-core-preinstall
"{6646AC9D-1CE0-32CF-C60D-FAE39F06580A}" = ATI Catalyst Install Manager
"{71E8DEC6-8785-B293-FA6D-7A37A3D3E773}" = ccc-core-static
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{88713CAC-8759-6FE4-D577-A823E5865CB9}" = ccc-utility
"{8ACC73AA-6511-7C55-B1A9-8E5D1DEAFAA3}" = The Lord of the Rings FREE Trial
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{92C6C8D0-A0E9-4B6E-BDC8-FEFB87D5919D}" = Brother HL-2035
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93FE10A-42C3-B498-2856-2BBE22481A7A}" = Catalyst Control Center Graphics Full New
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D129C0-7508-11DF-9F1B-005056806466}" = Google Earth
"{CC6B1BB4-4E06-4A5B-A166-B371B551324B}" = COMODO Internet Security
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BD}" = WinZip 14.5
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{F029DBBC-FBBD-20CD-7038-6A703578EC79}" = Catalyst Control Center Core Implementation
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"7-Zip" = 7-Zip 9.15 beta
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Bingo S" = Bingo S [3.09]
"CCleaner" = CCleaner
"DYMO Label v.8" = DYMO Label v.8
"ElsaWin" = ElsaWin
"ETKA7.2V5i" = ETKA 7.2 V5 International 2010
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"FreePDF_XP" = FreePDF (Remove only)
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"GPL Ghostscript 8.71" = GPL Ghostscript 8.71
"ie8" = Windows Internet Explorer 8
"ImgBurn" = ImgBurn
"InstallShield_{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Monkey Island 2 LeChucks Revenge Special Edition_is1" = Monkey Island 2 LeChucks Revenge Special Edition
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (3.1.2)" = Mozilla Thunderbird (3.1.2)
"NVIDIA Drivers" = NVIDIA Drivers
"RealPlayer 12.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Tales of Monkey Island" = Tales of Monkey Island
"Totalcmd" = Total Commander (Remove or Repair)
"Uninstall_is1" = Uninstall 1.0.0.1
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"PhotoFiltre" = PhotoFiltre
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 29.08.2010 15:43:18 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 17:12:19 | Computer Name = MORIARTY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung cfp.exe, Version 4.1.18600.916, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
Error - 29.08.2010 17:12:49 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 17:12:52 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 18:17:48 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 18:17:48 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 18:24:27 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 29.08.2010 18:24:28 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 30.08.2010 01:36:53 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
Error - 30.08.2010 01:36:53 | Computer Name = MORIARTY | Source = VSGATE | ID = 1
Description =
[ System Events ]
Error - 29.08.2010 15:43:17 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 15:43:17 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 17:12:51 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 17:12:51 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 18:17:51 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 18:17:51 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 18:24:31 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
%%126
Error - 29.08.2010 18:24:31 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
%%126
Error - 30.08.2010 01:36:54 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
%%126
Error - 30.08.2010 01:36:54 | Computer Name = MORIARTY | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
%%126
< End of report >
Und hier die OTL.txt -------------------OTL Logfile: Code:
ATTFilter OTL logfile created on: 30.08.2010 08:20:15 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 48,83 Gb Total Space | 19,37 Gb Free Space | 39,68% Space Free | Partition Type: NTFS Drive D: | 439,45 Gb Total Space | 403,31 Gb Free Space | 91,78% Space Free | Partition Type: NTFS Drive E: | 443,22 Gb Total Space | 443,14 Gb Free Space | 99,98% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded Drive H: | 634,81 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS I: Drive not present or media not loaded Computer Name: MORIARTY Current User Name: Dr. Moriarty Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard ========== Processes (SafeList) ========== PRC - [2010.08.30 08:19:04 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Downloads\OTL.exe PRC - [2010.07.24 20:36:21 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2010.06.23 11:25:35 | 000,202,256 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe PRC - [2010.06.01 19:00:52 | 001,778,480 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe PRC - [2010.06.01 19:00:40 | 002,039,240 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cfp.exe PRC - [2010.05.20 23:59:30 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2010.05.20 23:59:28 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.05.01 02:10:00 | 000,055,808 | ---- | M] (Sanford, L.P.) -- C:\Programme\DYMO\DYMO Label Software\DLSService.exe PRC - [2010.04.01 13:33:16 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.03.02 11:28:24 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.02.24 10:28:02 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.02.09 19:09:31 | 000,346,624 | ---- | M] (Microsoft Corporation) -- C:\WINXP\system32\mspaint.exe PRC - [2010.01.14 22:10:54 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.09.05 17:29:06 | 000,385,024 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2008.09.06 00:07:24 | 000,081,920 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\VSGate.exe PRC - [2008.09.06 00:05:26 | 000,147,456 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrAdm.exe PRC - [2008.09.06 00:03:06 | 000,217,088 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrHis.exe PRC - [2008.09.06 00:02:10 | 000,258,048 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrSaz.exe PRC - [2008.09.06 00:01:26 | 001,306,624 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrAuf.exe PRC - [2008.09.05 23:57:04 | 000,368,640 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrPas.exe PRC - [2008.09.05 23:56:36 | 000,241,664 | ---- | M] (Volkswagen AG) -- d:\ElsaWin\bin\LcSvrDba.exe PRC - [2008.04.14 11:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe PRC - [2006.11.13 13:50:28 | 001,289,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\wcescomm.exe PRC - [2006.11.13 13:50:16 | 000,199,464 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\rapimgr.exe ========== Modules (SafeList) ========== MOD - [2010.08.30 08:19:04 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Downloads\OTL.exe MOD - [2010.06.01 19:00:52 | 000,278,288 | ---- | M] (COMODO) -- C:\WINXP\system32\guard32.dll MOD - [2008.04.14 11:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINXP\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) SRV - [2010.06.01 19:00:52 | 001,778,480 | ---- | M] (COMODO) [Auto | Running] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent) SRV - [2010.04.01 13:33:16 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.02.24 10:28:02 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.09.06 00:07:24 | 000,081,920 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\VSGate.exe -- (VSGate) SRV - [2008.09.06 00:05:26 | 000,147,456 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\LcSvrAdm.exe -- (LcSvrAdm) SRV - [2008.09.06 00:03:06 | 000,217,088 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\LcSvrHis.exe -- (LcSvrHis) SRV - [2008.09.06 00:02:10 | 000,258,048 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\LcSvrSaz.exe -- (LcSvrSaz) SRV - [2008.09.06 00:01:26 | 001,306,624 | ---- | M] (Volkswagen AG) [On_Demand | Running] -- d:\ElsaWin\bin\LcSvrAuf.exe -- (LcSvrAuf) SRV - [2008.09.05 23:57:04 | 000,368,640 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\LcSvrPas.exe -- (LcSvrPAS) SRV - [2008.09.05 23:56:36 | 000,241,664 | ---- | M] (Volkswagen AG) [Auto | Running] -- d:\ElsaWin\bin\LcSvrDba.exe -- (LcSvrDba) ========== Driver Services (SafeList) ========== DRV - [2010.08.20 22:42:53 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\utg4njgy.sys -- (utg4njgy) DRV - [2010.07.31 15:52:55 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINXP\system32\drivers\sptd.sys -- (sptd) DRV - [2010.06.04 11:55:58 | 000,229,312 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINXP\system32\drivers\cmdGuard.sys -- (cmdGuard) DRV - [2010.06.01 19:00:24 | 000,087,824 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINXP\System32\DRIVERS\inspect.sys -- (Inspect) DRV - [2010.06.01 19:00:22 | 000,025,240 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINXP\system32\drivers\cmdhlp.sys -- (cmdHlp) DRV - [2010.04.30 16:56:24 | 006,032,928 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2010.04.07 04:42:04 | 004,687,872 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2010.03.01 10:05:20 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.02.16 14:24:02 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.11.19 01:24:26 | 000,095,232 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\AtiHdmi.sys -- (AtiHdmiService) DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2009.10.22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINXP\system32\DRIVERS\89719482.sys -- (89719482) DRV - [2009.10.22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINXP\system32\DRIVERS\68914342.sys -- (68914342) DRV - [2009.09.25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINXP\system32\drivers\89719481.sys -- (89719481) DRV - [2009.09.25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINXP\system32\drivers\68914341.sys -- (68914341) DRV - [2009.06.30 09:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\WINXP\system32\drivers\pavboot.sys -- (pavboot) DRV - [2009.05.11 12:49:20 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.05.11 10:12:50 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.20 03:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2008.11.23 11:23:06 | 000,097,792 | ---- | M] (T0r0 2008) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\NSHE.SYS -- (NSHE) DRV - [2008.08.24 11:22:40 | 000,014,208 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\nvsmu.sys -- (nvsmu) DRV - [2008.07.31 19:36:26 | 000,022,016 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2008.07.31 19:36:20 | 000,054,784 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2008.04.14 11:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\hardlock.sys -- (Hardlock) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = A2 F9 C7 0A 75 3B CB 01 [binary data] IE - HKU\S-1-5-21-854245398-746137067-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-854245398-746137067-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> ========== FireFox ========== FF - prefs.js..browser.search.defaulturl: "hxxp://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: fb_add_on@avm.de:1.5.5 FF - prefs.js..extensions.enabledItems: {ded0fc70-7215-4802-afeb-b2982d3e7225}:3.6 FF - prefs.js..extensions.enabledItems: nasanightlaunch@example.com:0.6.20100805 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010.06.23 11:25:55 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.24 20:36:23 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.20 13:16:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.27 20:12:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.05.23 21:22:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Extensions [2010.05.23 21:22:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.08.29 18:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Firefox\Profiles\of62hq7w.default\extensions [2010.08.18 15:56:52 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Firefox\Profiles\of62hq7w.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.06.23 11:22:43 | 000,000,000 | ---D | M] (Aeon) -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Firefox\Profiles\of62hq7w.default\extensions\{ded0fc70-7215-4802-afeb-b2982d3e7225} [2010.08.26 16:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Firefox\Profiles\of62hq7w.default\extensions\fb_add_on@avm.de [2010.08.09 22:45:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Mozilla\Firefox\Profiles\of62hq7w.default\extensions\nasanightlaunch@example.com [2010.08.29 18:54:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.06.01 13:28:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.07 21:13:08 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.08.29 18:17:51 | 000,000,027 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO) O4 - HKLM..\Run: [DLSService] C:\Programme\DYMO\DYMO Label Software\DLSService.exe (Sanford, L.P.) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKU\S-1-5-21-854245398-746137067-682003330-1003..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\Wcescomm.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-854245398-746137067-682003330-1003..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\Dr. Moriarty\Startmenü\Programme\Autostart\msnmsngr.ink.lnk = C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\DokterWatson.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\Dr. Moriarty\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-854245398-746137067-682003330-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-21-854245398-746137067-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\vw-wi {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - d:\ElsaWin\bin\wiprot.dll (TODO: <Company name>) O20 - AppInit_DLLs: (C:\WINXP\system32\guard32.dll) - C:\WINXP\system32\guard32.dll (COMODO) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.05.07 14:07:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2008.04.14 11:00:00 | 000,000,112 | R--- | M] () - H:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.29 23:15:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Malwarebytes [2010.08.29 23:15:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys [2010.08.29 23:15:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [2010.08.29 23:15:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.29 23:15:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.29 20:57:00 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\WINXP\System32\drivers\pavboot.sys [2010.08.29 20:55:54 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.08.29 20:46:28 | 000,000,000 | ---D | C] -- C:\WINXP\System32\appmgmt [2010.08.29 20:46:10 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010.08.29 20:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\COMODO [2010.08.29 19:05:10 | 000,000,000 | ---D | C] -- C:\Programme\COMODO [2010.08.29 18:23:13 | 000,000,000 | ---D | C] -- C:\WINXP\temp [2010.08.29 18:21:09 | 000,000,000 | RHSD | C] -- C:\cmdcons [2010.08.29 18:02:08 | 000,000,000 | ---D | C] -- C:\WINXP\ERDNT [2010.08.29 16:31:58 | 000,000,000 | ---D | C] -- C:\Programme\Windows Sidebar [2010.08.29 16:31:58 | 000,000,000 | ---D | C] -- C:\WINXP\System32\drivers\NAV [2010.08.29 16:31:58 | 000,000,000 | ---D | C] -- C:\WINXP\System32\drivers\NAV\1100000.088 [2010.08.29 16:31:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton [2010.08.29 16:31:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller [2010.08.29 15:53:36 | 000,000,000 | -H-D | C] -- C:\WINXP\PIF [2010.08.29 14:58:34 | 000,000,000 | ---D | C] -- C:\WINXP\rundll16.exe [2010.08.29 14:58:34 | 000,000,000 | ---D | C] -- C:\WINXP\logo1_.exe [2010.08.29 13:15:33 | 000,000,000 | ---D | C] -- C:\WINXP\VDLL.DLL [2010.08.29 13:15:33 | 000,000,000 | ---D | C] -- C:\WINXP\System32\runouce.exe [2010.08.29 13:15:33 | 000,000,000 | ---D | C] -- C:\WINXP\RUNDL132.EXE [2010.08.29 13:15:33 | 000,000,000 | ---D | C] -- C:\WINXP\logo_1.exe [2010.08.29 13:12:56 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\msvcr80.dll [2010.08.29 13:12:55 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\msvcp80.dll [2010.08.29 13:12:53 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINXP\System32\eEmpty.exe [2010.08.29 13:12:51 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINXP\R.COM [2010.08.29 13:12:51 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\T.COM [2010.08.29 13:12:49 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld [2010.08.29 13:12:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld [2010.08.28 13:04:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\PCHealth [2010.08.28 12:54:26 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\iedvtool.dll [2010.08.28 12:53:21 | 002,192,384 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\ntoskrnl.exe [2010.08.28 12:53:21 | 002,148,864 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\ntkrnlmp.exe [2010.08.28 12:53:21 | 002,069,248 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\ntkrnlpa.exe [2010.08.28 12:53:21 | 002,027,008 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\ntkrpamp.exe [2010.08.28 12:50:01 | 000,000,000 | ---D | C] -- C:\WINXP\ie8updates [2010.08.28 12:49:55 | 011,079,168 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\ieframe.dll [2010.08.28 12:49:55 | 001,987,072 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\iertutil.dll [2010.08.28 12:49:55 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\msfeeds.dll [2010.08.28 12:49:55 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\msfeedsbs.dll [2010.08.28 12:46:24 | 000,000,000 | -H-D | C] -- C:\WINXP\ie8 [2010.08.28 12:12:27 | 000,000,000 | ---D | C] -- C:\Programme\RegCleaner [2010.08.28 12:03:21 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.08.28 10:15:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Recent [2010.08.28 10:13:55 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.28 10:06:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Uniblue [2010.08.28 10:01:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\Help [2010.08.28 10:01:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Help [2010.08.28 10:01:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan [2010.08.28 09:51:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\Avira [2010.08.28 09:50:28 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys [2010.08.28 09:50:27 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys [2010.08.28 09:50:27 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys [2010.08.28 09:50:27 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntdd.sys [2010.08.28 09:50:27 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntmgr.sys [2010.08.28 09:50:27 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.08.28 09:50:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.08.28 09:40:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\TcpView3.02 [2010.08.26 16:45:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo Downloader [2010.08.24 09:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\Sanford,_L.P [2010.08.24 09:56:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\DYMO Label [2010.08.24 09:56:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\DYMO [2010.08.24 09:55:57 | 000,000,000 | ---D | C] -- C:\WINXP\Minidump [2010.08.24 09:48:39 | 000,009,216 | ---- | C] (DYMO Corp.) -- C:\WINXP\System32\LW400MON.DLL [2010.08.24 09:48:00 | 000,000,000 | ---D | C] -- C:\Programme\DYMO [2010.08.24 09:47:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DYMO [2010.08.20 16:35:47 | 000,315,408 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\6891434.sys [2010.08.20 16:35:47 | 000,128,016 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\68914341.sys [2010.08.20 16:35:47 | 000,037,392 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\68914342.sys [2010.08.20 16:35:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Virus Removal Tool1 [2010.08.20 16:26:39 | 000,315,408 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\8971948.sys [2010.08.20 16:26:39 | 000,128,016 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\89719481.sys [2010.08.20 16:26:39 | 000,037,392 | ---- | C] (Kaspersky Lab) -- C:\WINXP\System32\drivers\89719482.sys [2010.08.20 16:26:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Virus Removal Tool [2010.08.20 15:13:43 | 000,000,000 | -HSD | C] -- C:\WINXP\CSC [2010.08.20 11:35:07 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.08.20 11:35:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.08.19 18:30:48 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINXP\System32\drivers\SBREDrv.sys [2010.08.19 18:23:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft [2010.08.19 15:26:45 | 000,000,000 | ---D | C] -- C:\WINXP\System32\NtmsData [2010.08.19 12:57:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\FrostWire [2010.08.19 12:57:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\FrostWire [2010.08.16 16:28:01 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Lexware [2010.08.16 16:28:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\Lexware [2010.08.16 16:01:00 | 000,000,000 | ---D | C] -- C:\Programme\LucasArts [2010.08.13 16:24:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\GHISLER [2010.08.13 16:23:24 | 000,000,000 | ---D | C] -- C:\totalcmd [2010.08.13 16:23:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\GHISLER [2010.08.08 16:58:04 | 000,000,000 | ---D | C] -- C:\Programme\Runtime Software [2010.08.07 21:13:16 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.08.07 21:13:07 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\javaws.exe [2010.08.07 21:13:07 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\javaw.exe [2010.08.07 21:13:07 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\java.exe [2010.08.02 09:22:30 | 000,000,000 | ---D | C] -- C:\Programme\FixSD [2010.08.02 09:13:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\Yello_Strom_GmbH [2010.08.02 09:13:30 | 000,000,000 | ---D | C] -- C:\Programme\Yello Strom [2010.07.31 15:58:27 | 000,532,480 | ---- | C] (Volkswagen AG) -- C:\WINXP\System32\ElsaCfg.cpl [2010.07.31 15:52:54 | 000,691,696 | ---- | C] (Duplex Secure Ltd.) -- C:\WINXP\System32\drivers\sptd.sys [2010.07.31 15:52:50 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite [2010.07.31 15:52:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\DAEMON Tools Lite [2010.07.31 15:52:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.07.31 15:47:59 | 000,000,000 | ---D | C] -- C:\Programme\elsawin [2010.07.31 15:40:44 | 000,000,000 | ---D | C] -- C:\Programme\Diagnose-BK [2010.07.31 15:39:42 | 000,302,592 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINXP\unin0407.exe [2010.07.31 15:39:15 | 000,299,008 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINXP\uninst.exe [2010.07.31 15:39:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dr. Moriarty\WINDOWS [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.30 08:21:37 | 000,785,920 | ---- | M] () -- C:\WINXP\System32\drivers\zuchzul.sys [2010.08.30 07:40:54 | 001,042,248 | ---- | M] () -- C:\WINXP\System32\PerfStringBackup.INI [2010.08.30 07:40:54 | 000,448,470 | ---- | M] () -- C:\WINXP\System32\perfh007.dat [2010.08.30 07:40:54 | 000,432,356 | ---- | M] () -- C:\WINXP\System32\perfh009.dat [2010.08.30 07:40:54 | 000,080,104 | ---- | M] () -- C:\WINXP\System32\perfc007.dat [2010.08.30 07:40:54 | 000,067,312 | ---- | M] () -- C:\WINXP\System32\perfc009.dat [2010.08.30 07:36:52 | 000,000,284 | ---- | M] () -- C:\WINXP\tasks\RealUpgradeLogonTaskS-1-5-21-854245398-746137067-682003330-1003.job [2010.08.30 07:36:51 | 000,001,096 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job [2010.08.30 07:36:49 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT [2010.08.30 07:36:46 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2010.08.30 00:27:09 | 003,670,016 | -H-- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\NTUSER.DAT [2010.08.30 00:27:09 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\ntuser.ini [2010.08.30 00:27:02 | 004,829,710 | -H-- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.30 00:24:31 | 000,019,080 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.30 00:24:18 | 000,122,928 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT [2010.08.30 00:15:53 | 000,001,698 | ---- | M] () -- C:\malware-log [2010.08.29 23:32:00 | 000,001,100 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job [2010.08.29 23:15:15 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.29 21:35:48 | 000,000,277 | ---- | M] () -- C:\WINXP\Brownie.ini [2010.08.29 20:46:43 | 000,000,292 | ---- | M] () -- C:\WINXP\tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-746137067-682003330-1003.job [2010.08.29 19:05:26 | 000,001,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\COMODO Firewall.lnk [2010.08.29 18:22:37 | 000,000,227 | ---- | M] () -- C:\WINXP\system.ini [2010.08.29 18:21:12 | 000,000,277 | RHS- | M] () -- C:\boot.ini [2010.08.29 18:17:51 | 000,000,027 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts [2010.08.29 17:58:07 | 000,574,132 | ---- | M] () -- C:\WINXP\System32\drivers\NAV\1100000.088\Cat.DB [2010.08.29 16:20:00 | 000,291,297 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\pinfect.zip [2010.08.29 16:01:21 | 000,002,445 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\HiJackThis.lnk [2010.08.29 14:53:34 | 000,000,054 | ---- | M] () -- C:\WINXP\Lic.xxx [2010.08.29 13:18:02 | 004,821,667 | ---- | M] () -- C:\WINXP\REGBK00.ZIP [2010.08.29 13:12:55 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINXP\System32\msvcr80.dll [2010.08.29 13:12:54 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINXP\System32\msvcp80.dll [2010.08.29 13:12:52 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINXP\System32\eEmpty.exe [2010.08.28 12:54:53 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK [2010.08.28 12:12:28 | 000,000,625 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\RegCleaner.lnk [2010.08.28 10:13:56 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\CCleaner.lnk [2010.08.28 09:50:36 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.08.28 09:39:44 | 000,298,648 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\TcpView3.02.zip [2010.08.27 19:56:06 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2010.08.24 15:17:29 | 000,066,207 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Urbainczyk.pdf [2010.08.24 14:11:50 | 000,111,518 | ---- | M] () -- C:\kmeobd.JPG [2010.08.24 10:36:20 | 001,185,820 | ---- | M] () -- C:\neueliste2010.pdf [2010.08.24 09:49:26 | 000,000,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DYMO Label v.8.lnk [2010.08.23 17:54:32 | 000,000,056 | ---- | M] () -- C:\WINXP\Acroread.ini [2010.08.22 19:28:20 | 000,011,067 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Audi S6 - Kostenaufstellung.ods [2010.08.21 14:02:33 | 000,010,898 | ---- | M] () -- C:\kleinkueche0001.jpg [2010.08.20 22:42:53 | 000,007,168 | ---- | M] () -- C:\WINXP\System32\drivers\utg4njgy.sys [2010.08.20 16:35:01 | 000,000,864 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Startmenü\Programme\Autostart\msnmsngr.ink.lnk [2010.08.20 16:23:56 | 000,000,195 | ---- | M] () -- C:\WINXP\wininit.ini [2010.08.20 13:16:17 | 000,001,705 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.08.20 11:35:11 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Spybot - Search & Destroy.lnk [2010.08.19 18:41:26 | 000,038,526 | ---- | M] () -- C:\gopal.gif [2010.08.19 18:30:48 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINXP\System32\drivers\SBREDrv.sys [2010.08.19 14:27:18 | 000,021,940 | ---- | M] () -- C:\avant.JPG [2010.08.19 10:12:21 | 023,580,612 | ---- | M] () -- C:\DiegoG3-3.0.5.0-UPDATE_1.3_1.4_1.5_3.0-setup.zip [2010.08.17 12:19:17 | 000,019,659 | ---- | M] () -- C:\Rechnung.ott [2010.08.16 16:02:05 | 000,001,999 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Monkey Island 2 LeChucks Revenge Special Edition.lnk [2010.08.13 16:23:26 | 000,000,548 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Total Commander.lnk [2010.08.13 10:30:39 | 000,023,666 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\folienverarbeitungbraun.pdf [2010.08.10 21:21:59 | 000,037,789 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\ralphdomel.pdf [2010.08.10 13:24:23 | 000,166,416 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage III.pdf [2010.08.10 13:23:43 | 000,144,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage II.pdf [2010.08.10 13:22:45 | 000,151,007 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage VI.pdf [2010.08.10 13:21:11 | 000,095,843 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage V.pdf [2010.08.10 13:10:19 | 000,024,594 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Anzeige Domel.odt [2010.08.09 22:25:22 | 000,049,931 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\martinmittelstaedt.pdf [2010.08.09 00:28:17 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.08 16:58:04 | 000,000,782 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GetDataBack for NTFS.lnk [2010.08.07 09:37:04 | 000,014,929 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\debitor.odt [2010.08.04 09:25:15 | 000,057,957 | ---- | M] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Memo_Fierdel.pdf [2010.08.02 09:13:30 | 000,001,952 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Yellometer.lnk [2010.07.31 15:58:39 | 000,000,562 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsaWin.lnk [2010.07.31 15:58:39 | 000,000,562 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsaWin Administration.lnk [2010.07.31 15:58:39 | 000,000,546 | ---- | M] () -- C:\WINXP\ODBC.INI [2010.07.31 15:52:57 | 000,001,577 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Lite.lnk [2010.07.31 15:52:55 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) -- C:\WINXP\System32\drivers\sptd.sys [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.30 00:15:53 | 000,001,698 | ---- | C] () -- C:\malware-log [2010.08.29 23:15:15 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.29 22:17:03 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc [2010.08.29 19:05:26 | 000,001,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\COMODO Firewall.lnk [2010.08.29 18:21:12 | 000,000,207 | ---- | C] () -- C:\Boot.bak [2010.08.29 18:21:10 | 000,262,448 | ---- | C] () -- C:\cmldr [2010.08.29 18:02:12 | 000,256,512 | ---- | C] () -- C:\WINXP\PEV.exe [2010.08.29 18:02:12 | 000,077,312 | ---- | C] () -- C:\WINXP\MBR.exe [2010.08.29 17:58:03 | 000,574,132 | ---- | C] () -- C:\WINXP\System32\drivers\NAV\1100000.088\Cat.DB [2010.08.29 14:51:19 | 000,291,297 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\pinfect.zip [2010.08.29 13:17:36 | 004,821,667 | ---- | C] () -- C:\WINXP\REGBK00.ZIP [2010.08.29 13:13:06 | 000,000,054 | ---- | C] () -- C:\WINXP\Lic.xxx [2010.08.29 13:12:53 | 000,000,522 | ---- | C] () -- C:\WINXP\System32\Microsoft.VC80.CRT.manifest [2010.08.28 12:47:23 | 000,001,374 | ---- | C] () -- C:\WINXP\imsins.BAK [2010.08.28 12:12:28 | 000,000,625 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\RegCleaner.lnk [2010.08.28 12:03:21 | 000,002,445 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\HiJackThis.lnk [2010.08.28 10:13:56 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\CCleaner.lnk [2010.08.28 09:50:36 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.08.28 09:39:40 | 000,298,648 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\TcpView3.02.zip [2010.08.26 17:10:07 | 000,672,464 | ---- | C] () -- C:\WINXP\System32\drivers\sfi.dat [2010.08.24 16:46:01 | 004,684,880 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.08.24 15:17:28 | 000,066,207 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Urbainczyk.pdf [2010.08.24 14:11:50 | 000,111,518 | ---- | C] () -- C:\kmeobd.JPG [2010.08.24 10:36:16 | 001,185,820 | ---- | C] () -- C:\neueliste2010.pdf [2010.08.24 09:49:26 | 000,000,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DYMO Label v.8.lnk [2010.08.24 09:48:33 | 000,022,018 | RHS- | C] () -- C:\Programme\DLS8Uninstall.log [2010.08.23 17:41:12 | 000,000,056 | ---- | C] () -- C:\WINXP\Acroread.ini [2010.08.21 14:02:33 | 000,010,898 | ---- | C] () -- C:\kleinkueche0001.jpg [2010.08.20 22:42:53 | 000,007,168 | ---- | C] () -- C:\WINXP\System32\drivers\utg4njgy.sys [2010.08.20 16:23:54 | 000,000,195 | ---- | C] () -- C:\WINXP\wininit.ini [2010.08.20 15:27:54 | 000,785,920 | ---- | C] () -- C:\WINXP\System32\drivers\zuchzul.sys [2010.08.20 13:38:03 | 000,000,864 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Startmenü\Programme\Autostart\msnmsngr.ink.lnk [2010.08.20 11:35:11 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Spybot - Search & Destroy.lnk [2010.08.19 18:41:25 | 000,038,526 | ---- | C] () -- C:\gopal.gif [2010.08.19 14:27:17 | 000,021,940 | ---- | C] () -- C:\avant.JPG [2010.08.19 10:11:14 | 023,580,612 | ---- | C] () -- C:\DiegoG3-3.0.5.0-UPDATE_1.3_1.4_1.5_3.0-setup.zip [2010.08.17 12:19:16 | 000,019,659 | ---- | C] () -- C:\Rechnung.ott [2010.08.16 16:02:05 | 000,001,999 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Monkey Island 2 LeChucks Revenge Special Edition.lnk [2010.08.13 16:23:26 | 000,000,548 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Total Commander.lnk [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\UC.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\RAR.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\PKZIP.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\PKUNZIP.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\NOCLOSE.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\LHA.PIF [2010.08.13 16:23:24 | 000,000,545 | ---- | C] () -- C:\WINXP\ARJ.PIF [2010.08.13 10:30:38 | 000,023,666 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\folienverarbeitungbraun.pdf [2010.08.10 21:21:59 | 000,037,789 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\ralphdomel.pdf [2010.08.10 13:24:23 | 000,166,416 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage III.pdf [2010.08.10 13:23:43 | 000,144,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage II.pdf [2010.08.10 13:22:45 | 000,151,007 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage VI.pdf [2010.08.10 13:21:11 | 000,095,843 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Domel - Anlage V.pdf [2010.08.10 13:07:25 | 000,024,594 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Anzeige Domel.odt [2010.08.09 22:25:21 | 000,049,931 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\martinmittelstaedt.pdf [2010.08.08 16:58:04 | 000,000,782 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GetDataBack for NTFS.lnk [2010.08.07 09:37:04 | 000,014,929 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\debitor.odt [2010.08.04 09:25:15 | 000,057,957 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Eigene Dateien\Memo_Fierdel.pdf [2010.08.02 09:13:30 | 000,001,952 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Yellometer.lnk [2010.07.31 15:58:39 | 000,000,562 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsaWin.lnk [2010.07.31 15:58:39 | 000,000,562 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsaWin Administration.lnk [2010.07.31 15:52:57 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Lite.lnk [2010.07.31 15:40:59 | 000,000,546 | ---- | C] () -- C:\WINXP\ODBC.INI [2010.07.25 12:58:36 | 000,000,052 | ---- | C] () -- C:\WINXP\ETKINST.INI [2010.07.18 21:18:01 | 000,006,836 | ---- | C] () -- C:\WINXP\System32\UNWISE.INI [2010.07.13 20:56:22 | 000,116,224 | ---- | C] () -- C:\WINXP\System32\redmonnt.dll [2010.06.14 09:49:38 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.10 22:08:31 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\$_hpcst$.hpc [2010.06.03 21:01:34 | 000,009,030 | ---- | C] () -- C:\WINXP\HL-2030.INI [2010.06.03 21:01:34 | 000,000,114 | ---- | C] () -- C:\WINXP\System32\brlmw03a.ini [2010.06.03 21:01:34 | 000,000,000 | ---- | C] () -- C:\WINXP\brmx2001.ini [2010.06.03 21:01:27 | 000,000,432 | ---- | C] () -- C:\WINXP\BRWMARK.INI [2010.06.03 21:00:35 | 000,000,277 | ---- | C] () -- C:\WINXP\Brownie.ini < End of report > Obwohl Malwarebytes diese vier Backdoor.bot gelöscht hat, besteht das Problem noch immer  Danke für Eure Hilfe. |
|
30.08.2010, 14:11
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | services.exe öffnet dutzende TCP-Verbindungen - Hijack Log Warum hast Du schon Combofix ausgeführt? Wenn Du sowas schon machst, warum postest Du das Log davon nicht?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu services.exe öffnet dutzende TCP-Verbindungen - Hijack Log |
| adobe, adware, antispyware, antivir guard, bho, blockiert, components, converter, dateisystem, desktop, einstellungen, error, fehler, hijack, hijackthis, internet explorer, maßnahme, mp3, netzwerk, plug-in, registrierungsdatenbank, registry, server, services.exe, software, sptd.sys, spyware, svchost.exe, trojan, windows, windows xp |
Linear-Darstellung
