| |
| |||||||
Log-Analyse und Auswertung: Permantente Weiterleitung...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.09.2010, 13:06
| #1 | |
 |  Permantente Weiterleitung... Hallo liebes Forum, seit gestern habe ich ein kleines Problem. Ich habe leider eine .exe-Datei geöffnet, die mir nicht bekannt war! Er hat zwar geladen, aber geöffnet hat sich nichts großartig. Jetzt werde ich ständig bei Google auf irgendwelche Seiten weitergeleitet, die z.T. mein Java öffnen oder einfach nur auf Seiten mit viel Werbung weiterleiten! Manchmal auch auf Seiten, die mir weißmachen, ich hätte Malware und soll deren Programm downloaden (was ich nicht tue)! Falls es zur Lösung beiträgt, kann ich den genauen Pfad der Quelle angeben... Praktisch könnte jemande die .exe Untersuchen... Weiß nicht ob das geht, hab nicht so viel Ahnung! Gut, heute Morgen haben ich mein Avira AntiVir Personal - Free Antivirus rüberlaufen lassen und er hat tatsächlich 2 Funde gemeldet Zitat:
Nachdem ich Firefox öffnete und bei Google etwas sucht, merkte ich, dass das Problem weiterhin bestand! Im Taskmanager öffenete sich gestern dabei immer die "Kkk.exe" die ich in Suche mit 2 Datein fand und rauslöscht. OHNE ERFOLG! Sie tauchte später wieder auf! Ebenfalls tauchte öfters kurz eine Exe mit ganze vielen Zahlen im TSKMGR auf so sah das etwa aus "02803848.......exe" aber die konnte ich nicht ausfindig machen, da es zu viele Zahlen waren und die exe ziemlich schnell verschwand! Gut, eben lief HiJack This und hat folgendes gesagt: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:56:44, on 13.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE C:\WINDOWS\vsnpstd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Com\Sinus 154 card\DT11GMonitor.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\***\LOKALE~1\Temp\Kkk.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\plugin-container.exe c:\programme\avira\antivir desktop\avcenter.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [Mlexepe] rundll32.exe "C:\WINDOWS\omatiholur.dll",Startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [YXE7DXCQ37] C:\DOKUME~1\***\LOKALE~1\Temp\Kkk.exe O4 - HKCU\..\Run: [Dvizo] rundll32.exe "C:\WINDOWS\kCPontsr.dll",Startup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 card\DT11GMonitor.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 6465 bytes Sooo.. Ich hoffe ich habe alles richtig gemacht und ihr könnt mir helfen  Danke und Liebe Grüße, 01_bvg Geändert von BVG (13.09.2010 um 13:23 Uhr) |
|
13.09.2010, 13:28
| #2 |
| /// Malware-holic   | Permantente Weiterleitung... du kannst mir den link zur datei zusenden als private nachicht, oder die datei bei uns hochladen.
__________________dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html weiter hiermit: ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide. |
|
13.09.2010, 15:31
| #3 |
| | Permantente Weiterleitung... Hallo,
__________________anbei die beiden Dateien des OTL  -OTL.txt- Code:
ATTFilter OTL logfile created on: 13.09.2010 15:39:11 - Run 1 OTL by OldTimer - Version 3.2.12.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 479,00 Mb Total Physical Memory | 139,00 Mb Available Physical Memory | 29,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free Paging file location(s): C:\pagefile.sys 720 1440 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 27,94 Gb Total Space | 13,09 Gb Free Space | 46,85% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: *** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Kkk.exe (Don HO don.h@free.fr) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation) PRC - C:\WINDOWS\system32\slserv.exe (Smart Link) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\HPZipm12.exe (HP) PRC - C:\Programme\T-Com\Sinus 154 card\DT11GMonitor.exe () PRC - C:\WINDOWS\vsnpstd2.exe () PRC - C:\Programme\T-Com\Sinus 154 card\PRISMSVR.exe (Conexant Systems, Inc.) PRC - C:\WINDOWS\system32\S3tray2.exe (S3 Graphics, Inc.) PRC - C:\WINDOWS\system32\S3hotkey.exe (S3 Graphics, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\browices.dll () MOD - C:\WINDOWS\omatiholur.dll () MOD - C:\WINDOWS\system32\opengl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\glu32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\ddraw.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\dciman32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll (Don HO don.h@free.fr) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (wlidsvc) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (SLService) -- C:\WINDOWS\System32\slserv.exe (Smart Link) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) ========== Driver Services (SafeList) ========== DRV - (S3chipid) -- C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys File not found DRV - (InCDRm) -- C:\WINDOWS\System32\drivers\InCDRm.sys File not found DRV - (InCDPass) -- C:\WINDOWS\System32\drivers\InCDPass.sys File not found DRV - (InCDFs) -- C:\WINDOWS\System32\drivers\InCDFs.sys File not found DRV - (MDC8021X) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\mdc8021x.sys (Meetinghouse Data Communications) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ewusbnet) -- C:\WINDOWS\system32\drivers\ewusbnet.sys (Huawei Technologies Co., Ltd.) DRV - (hwusbdev) -- C:\WINDOWS\system32\drivers\ewusbdev.sys (Huawei Technologies Co., Ltd.) DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (TS154_CB) -- C:\WINDOWS\system32\drivers\TS154ICB.sys (Deutsche Telekom AG) DRV - (snpstd2) -- C:\WINDOWS\system32\drivers\snpstd2.sys () DRV - (SlNtHal) -- C:\WINDOWS\system32\drivers\slnthal.sys (Smart Link) DRV - (SlWdmSup) -- C:\WINDOWS\system32\drivers\slwdmsup.sys (Smart Link) DRV - (Slntamr) -- C:\WINDOWS\system32\drivers\slntamr.sys (Smart Link) DRV - (NtMtlFax) -- C:\WINDOWS\system32\drivers\ntmtlfax.sys (Smart Link) DRV - (Mtlmnt5) -- C:\WINDOWS\system32\drivers\mtlmnt5.sys (Smart Link) DRV - (RecAgent) -- C:\WINDOWS\system32\DRIVERS\RecAgent.sys (Smart Link) DRV - (Mtlstrm) -- C:\WINDOWS\system32\drivers\mtlstrm.sys (Smart Link) DRV - (VIAudio) VIA AC'97 Audiocontroller (WDM) -- C:\WINDOWS\system32\drivers\ac97via.sys (VIA Technologies, Inc.) DRV - (S3Twistr) -- C:\WINDOWS\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.) DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation) DRV - (VIAIRDA) -- C:\WINDOWS\system32\drivers\viairda.sys (VIA Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1482476501-492894223-854245398-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig" FF - prefs.js..browser.startup.homepage: "resource:/browserconfig.properties" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: check4change-owner@mozdev.org:1.7.1 FF - HKLM\software\mozilla\Firefox\extensions\\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C}: C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C} [2010.09.12 21:16:35 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.09 23:31:39 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.09 23:31:39 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.6\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.27 08:44:58 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.6\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.08.27 08:45:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.08.27 08:45:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.09.13 13:28:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\nsg93tf7.default\extensions [2010.08.22 10:17:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\nsg93tf7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.04 20:36:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\nsg93tf7.default\extensions\check4change-owner@mozdev.org [2010.09.13 13:28:24 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.08.04 09:32:02 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.08.04 09:32:02 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.08.04 09:32:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.08.04 09:32:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.08.04 09:32:02 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Mlexepe] C:\WINDOWS\omatiholur.DLL () O4 - HKLM..\Run: [PRISMSVR.EXE] C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE (Conexant Systems, Inc.) O4 - HKLM..\Run: [S3hotkey] C:\WINDOWS\System32\S3hotkey.exe (S3 Graphics, Inc.) O4 - HKLM..\Run: [S3TRAY2] C:\WINDOWS\System32\S3tray2.exe (S3 Graphics, Inc.) O4 - HKLM..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe () O4 - HKU\S-1-5-21-1482476501-492894223-854245398-1007..\Run: [Dvizo] C:\WINDOWS\kCPontsr.DLL () O4 - HKU\S-1-5-21-1482476501-492894223-854245398-1007..\Run: [YXE7DXCQ37] C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Temp\Kkk.exe (Don HO don.h@free.fr) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 card\DT11GMonitor.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1482476501-492894223-854245398-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars) O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab (UnoCtrl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.68.161.141 217.68.161.171 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.03.04 15:27:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: fsutstrt - (C:\WINDOWS\system32\browices.dll) - C:\WINDOWS\system32\browices.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: Wmi - C:\WINDOWS\System32\wmi.dll (Microsoft Corporation) NetSvcs: WmdmPmSp - File not found NetSvcs: SSHNAS - C:\WINDOWS\system32\sshnas21.dll (Don HO don.h@free.fr) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe - (Hewlett-Packard Development Company, L.P.) MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\Programme\HP\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Development Company, L.P.) MsConfig - StartUpReg: ICQ - hkey= - key= - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.) MsConfig - StartUpReg: jamn_prz_DE - hkey= - key= - C:\Programme\Solaris Dackel20\dackel20.exe File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 SafeBootMin: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {1DFFB787-735E-371B-9C43-1321C10B4335} - .NET Framework ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CAAFB8F9-F8D1-3D27-9AAA-6301A4429440} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation) Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: wave1 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (15776209447157760) ========== Files/Folders - Created Within 30 Days ========== [2099.04.28 22:06:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations [2010.09.12 21:16:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C} [2010.09.12 19:52:31 | 000,228,352 | ---- | C] (Don HO don.h@free.fr) -- C:\WINDOWS\Kcexoa.exe [2010.09.12 19:51:59 | 000,269,824 | ---- | C] (Don HO don.h@free.fr) -- C:\WINDOWS\System32\sshnas21.dll [2010.09.12 19:47:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Resolume Avenue 3 [2010.09.12 19:47:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3 [2010.09.12 19:47:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Resolume [2010.09.12 18:01:25 | 000,000,000 | ---D | C] -- C:\Programme\VaryCam [2010.09.10 21:28:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2010.09.10 14:48:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HP [2010.09.01 15:38:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google [2010.09.01 15:38:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google [2010.08.31 19:53:43 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Videos [2010.08.27 08:44:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Thunderbird [2010.08.27 08:44:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird [2010.08.25 19:14:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\HaCon [2010.08.25 19:14:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HaCon [2010.08.24 13:36:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira [2010.08.22 21:31:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads [2010.08.22 12:59:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun [2010.08.22 11:13:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Verlauf [2010.08.22 11:12:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien [2010.08.22 10:24:50 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\***\UserData [2010.08.22 10:11:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Tracing [2010.08.22 04:13:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.08.22 04:05:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia [2010.08.22 04:05:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe [2010.08.22 04:03:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla [2010.08.22 04:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla [2010.08.21 17:17:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Dateien [2010.08.21 17:07:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ahead [2010.08.21 17:06:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities [2010.08.21 17:06:18 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik [2010.08.21 17:06:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien [2010.08.21 17:06:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Bilder [2010.08.21 17:06:08 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft [2010.08.21 17:06:08 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\***\Cookies [2010.08.21 17:06:08 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\SendTo [2010.08.21 17:06:08 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.08.21 17:06:08 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten [2010.08.21 17:06:08 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Startmenü [2010.08.21 17:06:08 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\***\Favoriten [2010.08.21 17:06:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Vorlagen [2010.08.21 17:06:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Netzwerkumgebung [2010.08.21 17:06:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen [2010.08.21 17:06:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\***\Druckumgebung [2010.08.21 17:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft Help [2010.08.21 17:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft [2010.08.21 17:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop [2010.07.30 00:22:07 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd2.dll [2010.07.30 00:22:07 | 000,057,344 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnpstd2.dll [2010.07.30 00:22:07 | 000,036,864 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd2.dll [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.13 15:43:00 | 000,000,244 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010.09.13 15:41:04 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.09.13 15:21:00 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.09.13 14:29:17 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Tsiwafe.dat [2010.09.13 11:33:07 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Ujoyadevipeji.bin [2010.09.13 11:32:21 | 000,001,078 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.09.13 11:31:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.13 11:30:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.12 21:13:15 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.12 20:01:13 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.09.12 20:00:22 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\browices.dll [2010.09.12 19:52:02 | 000,228,352 | ---- | M] (Don HO don.h@free.fr) -- C:\WINDOWS\Kcexoa.exe [2010.09.12 19:51:59 | 000,269,824 | ---- | M] (Don HO don.h@free.fr) -- C:\WINDOWS\System32\sshnas21.dll [2010.09.12 18:02:30 | 000,000,596 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\VaryCam 2.0.10.lnk [2010.09.12 17:24:47 | 000,001,826 | ---- | M] () -- C:\WINDOWS\win.ini [2010.09.12 01:27:49 | 001,572,864 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.09.12 01:27:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.09.12 01:27:20 | 004,306,228 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.09.11 21:35:06 | 000,003,584 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.11 21:24:08 | 000,114,554 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\tarik.bmp [2010.09.05 13:48:58 | 000,937,566 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\finchen04.bmp [2010.08.22 21:58:36 | 000,000,387 | ---- | M] () -- C:\outputLinkedInCookie.xml [2010.08.22 11:11:18 | 000,105,218 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\bus_next.wav [2010.08.22 11:08:02 | 000,173,858 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\bus_ende.wav [2010.08.22 04:02:55 | 000,069,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.16 12:38:43 | 000,268,600 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.15 23:13:46 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.08.15 23:07:57 | 001,006,830 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.15 23:07:57 | 000,452,554 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.15 23:07:57 | 000,435,594 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.15 23:07:57 | 000,081,510 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.15 23:07:57 | 000,068,490 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.12 21:16:36 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Tsiwafe.dat [2010.09.12 21:16:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Ujoyadevipeji.bin [2010.09.12 20:00:22 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\System32\browices.dll [2010.09.12 19:52:24 | 000,000,278 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.09.12 19:52:09 | 000,000,244 | -H-- | C] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010.09.12 18:02:30 | 000,000,596 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\VaryCam 2.0.10.lnk [2010.09.11 21:35:05 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.11 21:24:08 | 000,114,554 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\tarik.bmp [2010.09.05 13:48:56 | 000,937,566 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\finchen04.bmp [2010.08.22 11:10:27 | 000,105,218 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\bus_next.wav [2010.08.22 11:08:02 | 000,173,858 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\bus_ende.wav [2010.08.21 17:06:11 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.08.21 17:06:07 | 001,572,864 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.08.21 17:06:07 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\NtUser.dat.LOG [2010.08.07 18:29:23 | 000,000,127 | ---- | C] () -- C:\WINDOWS\_delis43.ini [2010.07.30 00:22:27 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\dsnpstd2.dll [2010.07.30 00:22:27 | 000,015,541 | ---- | C] () -- C:\WINDOWS\snpstd2.ini [2010.07.30 00:22:14 | 000,347,264 | ---- | C] () -- C:\WINDOWS\System32\drivers\snpstd2.sys [2010.07.03 17:48:17 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2010.06.24 15:38:35 | 000,000,096 | ---- | C] () -- C:\WINDOWS\HAFASWIN.INI [2010.06.24 15:35:09 | 000,000,021 | ---- | C] () -- C:\WINDOWS\progman.ini [2010.04.08 18:58:19 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.03.16 22:09:03 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI [2010.03.16 21:59:08 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2010.03.14 21:52:30 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2010.03.14 21:48:29 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2004.08.04 14:00:00 | 000,204,288 | ---- | C] () -- C:\WINDOWS\omatiholur.dll [2004.08.04 14:00:00 | 000,075,776 | ---- | C] () -- C:\WINDOWS\kCPontsr.dll [2001.07.06 17:30:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI ========== LOP Check ========== [2010.03.14 16:16:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.06.24 15:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HaCon [2010.03.19 23:41:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! [2010.06.16 16:42:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism [2010.09.12 19:47:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3 [2010.06.23 21:27:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SGS [2010.07.30 01:02:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp [2010.08.25 19:14:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HaCon [2010.09.12 19:47:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Resolume [2010.08.27 08:45:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird [2010.09.13 15:41:04 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.09.13 15:43:00 | 000,000,244 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2010.08.22 04:13:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe [2010.08.24 13:36:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira [2010.09.01 15:38:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google [2010.08.25 19:14:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HaCon [2010.09.10 14:48:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HP [2010.08.21 17:06:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities [2010.08.22 04:05:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia [2010.09.10 14:50:44 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft [2010.08.22 04:04:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla [2010.09.12 19:47:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Resolume [2010.08.22 12:59:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun [2010.08.27 08:45:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird < %APPDATA%\*.exe /s > < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2010.03.05 18:27:30 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2010.03.05 18:27:30 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2010.03.05 18:27:30 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2010.03.05 18:27:30 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.03.04 16:09:02 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2010.03.04 16:09:02 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2010.03.04 16:09:02 | 000,409,600 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [2008.04.14 04:22:08 | 001,267,200 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\comsvcs.dll [6 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > -Extras.txt- Code:
ATTFilter OTL Extras logfile created on: 13.09.2010 15:39:11 - Run 1
OTL by OldTimer - Version 3.2.12.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
479,00 Mb Total Physical Memory | 139,00 Mb Available Physical Memory | 29,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): C:\pagefile.sys 720 1440 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,94 Gb Total Space | 13,09 Gb Free Space | 46,85% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE" = C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe -- ()
"C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe -- ( )
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Teamspeak2_RC2\server_windows.exe" = C:\Programme\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server -- ()
"C:\Programme\GameSpy Arcade\Aphex.exe" = C:\Programme\GameSpy Arcade\Aphex.exe:*:Enabled:GameSpy Arcade -- (IGN Entertainment, Inc.)
"C:\Programme\Atari\Locomotion\Loco.exe" = C:\Programme\Atari\Locomotion\Loco.exe:*:Enabled:Chris Sawyer's Locomotion -- (Atari Inc.)
"C:\DOKUME~1\Nico\LOKALE~1\Temp\0.3152668990947898.exe" = [String data over 1000 bytes]
"C:\DOKUME~1\Nico\LOKALE~1\Temp\0.26849416968556183.exe" = [String data over 1000 bytes]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05C56753-F144-44BC-BA67-83CC5DBF395C}" = F300
"{0BF5FBE7-3907-4A1F-9E48-8B66E52850D6}" = TrayApp
"{10A44844-4465-456E-8C97-80BDD4F68845}" = Windows Live ID-Anmelde-Assistent
"{1DFFB787-735E-371B-9C43-1321C10B4335}" = Microsoft .NET Framework 2.0 Client Service Pack 2 - Language Pack (DEU)
"{1E1F1E70-14D8-4380-8652-BD1A895A7D65}" = Status
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20B1B020-DEAE-48D1-9960-D4C3185D758B}" = Phase 5 HTML-Editor
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{23B35809-5E4A-4F14-8332-1CDEDDFAC089}" = CP_Package_Variety2
"{24BEBF2E-73F3-4599-840B-EDC612CCDD0D}" = Destinations
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{31263605-FC84-4787-B847-BA445B147E24}" = ScannerCopy
"{34F3FCF1-817B-4D61-B6AF-19D9486AFEA0}" = Unload
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4041C245-7099-4C96-9738-5EBC23827B3C}" = BufferChm
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4BE53DB2-C1F2-44D1-A9AB-1630BA7F2AF1}" = SolutionCenter
"{522D1D79-9C0A-4361-91F8-2AFF8EC6C2E1}" = CP_Package_Variety1
"{54C085D1-53E9-3768-B1B9-6018671D4882}" = Microsoft .NET Framework 3.0 Client Profile - Language Pack (DEU)
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{68763C27-235D-4165-A961-FDEA228CE504}" = AiOSoftwareNPI
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{71D9B000-CD43-4DE9-9729-49434415B8F7}" = F300Trb
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{736C803C-DD3B-4015-BC51-AFB9E67B9076}" = Readme
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77F45E76-E897-42CA-A9FE-5F56817D875C}" = Locomotion
"{7E7B7865-6C80-4373-8BC1-C2EB9431F9DE}" = ProductContextNPI
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{AE3CF174-872C-46C6-B9F6-C0593F3BC7B8}" = Microsoft Office Live Add-in 1.4
"{B57F2FF0-5A25-4332-B503-4592B370C02F}" = CP_Package_Variety3
"{BF4E9ED0-EF26-4A4C-A123-6A6A1ABEE411}" = DocProc
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C6812939-B117-48E6-A3BA-1709C14A3C8C}" = Scan
"{C8753E28-2680-49BF-BD48-DD38FD086EFE}" = AiO_Scan_CDA
"{C98E8D9D-21DE-4F87-A9B7-142BB89840FC}" = Toolbox
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3492D9E-7FBB-1DF6-F759-2A37FA231031}" = Nero 7 Demo
"{D7CAE58E-26DE-49B7-A75D-EAEDF76726BE}" = HP Photosmart Essential
"{DEBB2986-15B0-4D28-95FA-5C966A396589}" = HPProductAssistant
"{E5966E4C-0A93-4F59-A981-BD3173D4799F}" = F300_Help
"{E5A8DDAB-AE80-48C6-A75B-D0FAB83B299D}" = HP PSC & OfficeJet 6.1.A
"{EADAA6F7-991F-4CE9-B5CE-FCF3D81F7C7D}" = Trust WB-3100P Portable Webcam
"{EC2715CE-C182-483C-84CC-81D7D914CF14}" = WebReg
"{ECFDD6BD-E0C0-41CC-A171-E6D6AF4C0E93}" = HP Software Update
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F0E2B312-D7FD-4349-A9B6-E90B36DB1BD0}" = Paint.NET v3.5.5
"{F6076EF9-08E1-442F-B6A2-BFB61B295A14}" = Fax_CDA
"{F7172E9B-1145-3768-94E6-8477A73E860F}" = Microsoft .NET Framework 3.5 Client Profile - Language Pack (DEU)
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FBB980B0-63F8-4B48-8D65-90F1D9F81D9F}" = NewCopy_CDA
"{FE2160CD-B910-4E5A-A24D-DEA26E3D0D8C}" = Sinus 154 card
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Cossacks : Back To War" = Cossacks - Back To War
"Cossacks : The Art Of War" = Cossacks - The Art Of War
"ENTERPRISE" = Microsoft Office Enterprise 2007
"EW : Cossacks" = Cossacks - European Wars
"GameSpy Arcade" = GameSpy Arcade
"HijackThis" = HijackThis 2.0.2
"HP Imaging Device Functions" = HP Imaging Device Functions 6.1
"HP Solution Center & Imaging Support Tools" = HP Solution Center and Imaging Support Tools 6.1
"InstallShield_{FE2160CD-B910-4E5A-A24D-DEA26E3D0D8C}" = Sinus 154 card
"MD Adressbuch 2009_is1" = MD Adressbuch 2009
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft.Net.Client.3.5" = Microsoft .NET Framework Client Profile
"Microsoft.Net.Client.3.5.LangPack.deu" = Microsoft .NET Framework Client Profile Language Pack - DEU
"Mobile Partner" = Mobile Partner
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)
"Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PokerStars" = PokerStars
"S3Display" = S3Display
"S3Gamma2" = S3Gamma2
"S3Info2" = S3Info2
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 2 Server_is1" = TeamSpeak 2 Server RC2
"Twister" = Twister and Utilities
"varycam_is1" = VaryCam v2.0.10
"VBB-Fahrinfo offline" = VBB-Fahrinfo offline starten
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 09.09.2010 14:16:52 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 10.09.2010 04:52:14 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 10.09.2010 10:47:52 | Computer Name = *** | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 10.09.2010 15:02:48 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 11.09.2010 05:19:06 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 11.09.2010 11:22:02 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 11.09.2010 11:24:15 | Computer Name = *** | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 12.09.2010 04:14:29 | Computer Name = *** | Source = Google Update | ID = 20
Description =
Error - 12.09.2010 09:13:06 | Computer Name = *** | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 13.09.2010 05:31:18 | Computer Name = *** | Source = Google Update | ID = 20
Description =
[ System Events ]
Error - 10.09.2010 13:23:01 | Computer Name = *** | Source = PlugPlayManager | ID = 12
Description = Das Gerät "HL-DT-ST RW/DVD GCC-4243N" (IDE\CdRomHL-DT-ST_RW/DVD_GCC-4243N_______________1.01____\5&f53a21&0&0.0.0)
wurde ohne vorbereitende Maßnahmen vom System entfernt.
Error - 10.09.2010 15:32:15 | Computer Name = *** | Source = System Error | ID = 1003
Description = Fehlercode 00000077, 1. Parameter c000000e, 2. Parameter c000000e,
3. Parameter 00000000, 4. Parameter 000fa000.
Error - 11.09.2010 11:24:18 | Computer Name = *** | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst WMI-Leistungsadapter.
Error - 11.09.2010 11:24:18 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
Error - 12.09.2010 09:13:07 | Computer Name = *** | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst WMI-Leistungsadapter.
Error - 12.09.2010 09:13:07 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
Error - 12.09.2010 09:50:22 | Computer Name = *** | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst AntiVirSchedulerService.
Error - 12.09.2010 14:04:25 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 12.09.2010 17:01:15 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.101 für die Netzwerkkarte mit der Netzwerkadresse
0030F1D265A5 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 13.09.2010 07:42:29 | Computer Name = ***Y | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.100 für die Netzwerkkarte mit der Netzwerkadresse
0030F1D265A5 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
< End of report >
Liebe Grüße und Danke, 01_bvg |
|
13.09.2010, 16:28
| #4 |
| /// Malware-holic | Permantente Weiterleitung... • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Kkk.exe (Don HO don.h@free.fr) SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll (Don HO don.h@free.fr) DRV - (S3chipid) -- C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys File not found DRV - (InCDRm) -- C:\WINDOWS\System32\drivers\InCDRm.sys File not found DRV - (InCDPass) -- C:\WINDOWS\System32\drivers\InCDPass.sys File not found DRV - (InCDFs) -- C:\WINDOWS\System32\drivers\InCDFs.sys File not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found O4 - HKLM..\Run: [Mlexepe] C:\WINDOWS\omatiholur.DLL () O4 - HKU\S-1-5-21-1482476501-492894223-854245398-1007..\Run: [Dvizo] C:\WINDOWS\kCPontsr.DLL () O4 - HKU\S-1-5-21-1482476501-492894223-854245398-1007..\Run: [YXE7DXCQ37] C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Temp\Kkk.exe (Don HO don.h@free.fr) O34 - HKLM BootExecute: (autocheck autochk *) - File not found O36 - AppCertDlls: fsutstrt - (C:\WINDOWS\system32\browices.dll) - C:\WINDOWS\system32\browices.dll () [2010.09.12 21:16:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C} [2010.09.12 19:52:31 | 000,228,352 | ---- | C] (Don HO don.h@free.fr) -- C:\WINDOWS\Kcexoa.exe [2010.09.13 15:43:00 | 000,000,244 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010.09.13 15:41:04 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.09.13 14:29:17 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Tsiwafe.dat [2010.09.13 11:33:07 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Ujoyadevipeji.bin :Files C:\WINDOWS\system32\browices.dll C:\WINDOWS\omatiholur.dll :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne arbeitsplatz, c: dort nen rechtsklick auf _OTL und zu _OTL.zip oder rar hinzufügen, archiv ght an uns. http://www.trojaner-board.de/54791-a...ner-board.html |
|
13.09.2010, 17:46
| #5 |
| | Permantente Weiterleitung... Hallo markusg, vielen Dank für deine Hilfe. Erstmal habe ich 2 Probleme: 1) Kurz nach dem Start zeigte Windows an "GrooveMonitor" konnte nicht initialisiert werden. 2) Ebenfalls kurz nach dem Start wurde mir angezeigt, dass "C:/WINDOWS/KCPontsr.dll" Modul nicht gefunden werden konnte. Anmerkung: Wenn bei eurem Upload-Channel auf Hochladen klicke, schmiert mir jedes Mal Mozilla Firefox ab. Mit Internet Explorer hat es aber funktioniert! Hier die Datei von OTL: Code:
ATTFilter All processes killed
========== OTL ==========
No active process named Kkk.exe was found!
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File C:\WINDOWS\System32\hidserv.dll File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File C:\WINDOWS\System32\appmgmts.dll File not found not found.
Error: Unable to stop service SSHNAS!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS deleted successfully.
C:\WINDOWS\system32\sshnas21.dll moved successfully.
Service S3chipid stopped successfully!
Service S3chipid deleted successfully!
File C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys File not found not found.
Service InCDRm stopped successfully!
Service InCDRm deleted successfully!
File C:\WINDOWS\System32\drivers\InCDRm.sys File not found not found.
Service InCDPass stopped successfully!
Service InCDPass deleted successfully!
File C:\WINDOWS\System32\drivers\InCDPass.sys File not found not found.
Service InCDFs stopped successfully!
Service InCDFs deleted successfully!
File C:\WINDOWS\System32\drivers\InCDFs.sys File not found not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Mlexepe deleted successfully.
C:\WINDOWS\omatiholur.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-1482476501-492894223-854245398-1007\Software\Microsoft\Windows\CurrentVersion\Run\\Dvizo deleted successfully.
C:\WINDOWS\kCPontsr.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-1482476501-492894223-854245398-1007\Software\Microsoft\Windows\CurrentVersion\Run\\YXE7DXCQ37 deleted successfully.
C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Temp\Kkk.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\fsutstrt:C:\WINDOWS\system32\browices.dll deleted successfully.
C:\WINDOWS\system32\browices.dll moved successfully.
C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C}\chrome\content folder moved successfully.
C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C}\chrome folder moved successfully.
C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\{EC5CDDB3-ADA6-4F24-BD31-C9544F9DCF3C} folder moved successfully.
C:\WINDOWS\Kcexoa.exe moved successfully.
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
C:\WINDOWS\Tsiwafe.dat moved successfully.
C:\WINDOWS\Ujoyadevipeji.bin moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32\browices.dll not found.
File\Folder C:\WINDOWS\omatiholur.dll not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Default User
User: LocalService
User: NetworkService
User: Nico
->Flash cache emptied: 5800 bytes
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Nico
->Temp folder emptied: 57745434 bytes
->Temporary Internet Files folder emptied: 33530 bytes
->Java cache emptied: 975361 bytes
->FireFox cache emptied: 73091789 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 4528631 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 27524017 bytes
RecycleBin emptied: 2360 bytes
Total Files Cleaned = 159,00 mb
OTL by OldTimer - Version 3.2.12.0 log created on 09132010_173346
Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Nico\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\BBBID1DE\adlink%7C288%7C2344330%7C0%7C154%7CAdId%3D5416225%3BBnId%3D3%3Bitime%3D507078026%3Bkr2416%3D1430341%3Bkr60%3D6841%3Bkp%3D28333%3Blink%3D;ord=507078026[2] not found!
Registry entries deleted on Reboot...
Gruß 01_bvg |
|
13.09.2010, 18:03
| #6 |
| /// Malware-holic | Permantente Weiterleitung... nein,noch nicht. download malwarebytes: Malwarebytes instalieren öffnen, updaten über die registerkarte aktualisierung. dann schalte alle laufenden programme aus, auch antivirus, trenne die internetverbindung, starte nen komplett scan, funde löschen, antivirus + internet ein, log posten. |
|
13.09.2010, 21:40
| #7 |
| | Permantente Weiterleitung... Hallo, super! Das sagt die Log-Datei: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4608
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
13.09.2010 22:30:20
mbam-log-2010-09-13 (22-30-20).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 210749
Laufzeit: 1 Stunde(n), 11 Minute(n), 42 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\linkrdr.aiebho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.aiebho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\AcroIEHelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Programme\phase5\Plugins\Tabellenzerleger.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{84080C11-6E12-4168-921E-CC94265535A5}\RP108\A0149595.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{84080C11-6E12-4168-921E-CC94265535A5}\RP117\A0183339.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\_OTL.zip\MovedFiles\09132010_173346\C_Dokumente und Einstellungen\Nico\Lokale Einstellungen\Temp\Kkk.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\_OTL.zip\MovedFiles\09132010_173346\C_WINDOWS\Kcexoa.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\_OTL.zip\MovedFiles\09132010_173346\C_WINDOWS\kCPontsr.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\_OTL.zip\MovedFiles\09132010_173346\C_WINDOWS\omatiholur.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
Danke! Liebe Grüße, 01_bvg |
|
14.09.2010, 11:23
| #8 |
| /// Malware-holic | Permantente Weiterleitung... Lade SystemLook von jpshortstuff herunter und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe Doppelklick auf die SystemLook.exe, um das Tool zu starten. user von windows seven und vista rechtsklick und als admin ausführen. kopiere ein: :filefind appconf32.exe Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert, diese posten. |
|
14.09.2010, 11:46
| #9 |
| | Permantente Weiterleitung... Hallo markusg, das sagt SystemLook: Code:
ATTFilter SystemLook 04.09.10 by jpshortstuff
Log created at 12:41 on 14/09/2010 by ***
Administrator - Elevation successful
========== filefind ==========
Searching for "appconf32.exe"
C:\WINDOWS\system32\appconf32.exe -r-hs-- 48128 bytes [15:23 09/12/2008] [15:23 09/12/2008] 451965876ED1B3042D429729F45DCB2B
-= EOF =-
Danke und Gruß, 01_bvg |
|
14.09.2010, 12:06
| #10 |
| /// Malware-holic | Permantente Weiterleitung... bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
14.09.2010, 12:58
| #11 |
| | Permantente Weiterleitung... Hallo markusg, gesagt, getan: Code:
ATTFilter ComboFix 10-09-13.02 - Nico 14.09.2010 13:28:21.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.479.282 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\UAs
c:\windows\system32\UAs\firefox.exe_UAs001.dat
c:\windows\system32\UAs\firefox.exe_UAs002.dat
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs002.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-14 bis 2010-09-14 ))))))))))))))))))))))))))))))
.
2099-04-28 20:06 . 2010-06-16 14:37 -------- d-----w- c:\windows\Downloaded Installations
2010-09-14 09:25 . 2010-09-14 09:25 -------- d-----w- c:\windows\system32\xmldm
2010-09-13 17:08 . 2010-09-13 17:08 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2010-09-13 17:07 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-13 17:07 . 2010-09-13 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-13 17:07 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-13 17:07 . 2010-09-13 17:08 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-13 15:33 . 2010-09-13 15:33 -------- d-----w- C:\_OTL.zip
2010-09-13 15:13 . 2010-09-13 15:13 -------- d-----w- c:\windows\system32\5005
2010-09-13 15:12 . 2010-09-13 15:12 -------- d-----w- c:\windows\system32\cock
2010-09-12 17:47 . 2010-09-12 17:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3
2010-09-12 17:47 . 2010-09-12 17:47 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Resolume
2010-09-12 16:01 . 2010-09-12 16:02 -------- d-----w- c:\programme\VaryCam
2010-09-10 12:48 . 2010-09-10 12:48 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\HP
2010-09-01 13:38 . 2010-09-01 13:38 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\Google
2010-08-27 06:44 . 2010-08-27 06:45 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-08-27 06:44 . 2010-08-27 06:45 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Thunderbird
2010-08-25 17:14 . 2010-08-25 17:14 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\HaCon
2010-08-25 17:14 . 2010-08-25 17:14 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\HaCon
2010-08-24 11:36 . 2010-08-24 11:36 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Avira
2010-08-22 08:24 . 2010-08-22 08:24 -------- d-s---w- c:\dokumente und einstellungen\Nico\UserData
2010-08-22 08:11 . 2010-09-14 09:21 -------- d-----w- c:\dokumente und einstellungen\Nico\Tracing
2010-08-22 02:13 . 2010-08-22 02:15 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-08-22 02:03 . 2010-08-22 02:03 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-08-22 02:02 . 2010-08-22 02:02 69640 ----a-w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-21 15:07 . 2010-08-21 15:07 -------- d-----w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\Ahead
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 15:44 . 2010-09-13 15:44 112 ----a-w- c:\windows\system32\srvblck2.tmp
2010-09-12 13:40 . 2010-06-06 16:55 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-05 09:56 . 2010-03-14 17:38 -------- d-----w- c:\programme\Messenger Plus! Live
2010-08-16 10:58 . 2010-05-19 22:07 -------- d-----w- c:\programme\PokerStars
2010-08-15 21:11 . 2010-03-05 13:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-08-15 21:07 . 2004-08-04 12:00 81510 ----a-w- c:\windows\system32\perfc007.dat
2010-08-15 21:07 . 2004-08-04 12:00 452554 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 19:38 . 2010-04-05 18:11 -------- d-----w- c:\programme\ICQ7.1
2010-08-08 07:56 . 2010-04-08 17:19 -------- d-----w- c:\programme\Cossacks - The Art Of War
2010-08-03 15:52 . 2010-07-07 15:28 -------- d-----r- c:\programme\Skype
2010-08-03 15:50 . 2010-04-17 11:03 -------- d-----w- c:\programme\Maxis
2010-08-01 18:12 . 2010-07-29 23:02 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
2010-07-29 23:09 . 2010-07-29 23:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2010-07-29 23:07 . 2010-04-05 18:14 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-29 23:02 . 2010-07-29 23:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2010-07-29 22:21 . 2010-07-29 22:21 -------- d-----w- c:\programme\Trust
2010-07-27 08:29 . 2010-06-24 13:33 -------- d-----w- c:\programme\VBB
2010-07-23 08:10 . 2010-04-05 15:00 -------- d-----w- c:\programme\Paint.NET
2010-07-23 08:05 . 2010-04-08 17:04 -------- d-----w- c:\programme\Cossacks
2010-07-17 12:29 . 2010-07-17 12:26 -------- d-----w- c:\programme\Mobile Partner
2010-07-07 15:32 . 2010-07-07 15:32 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-07-03 15:48 . 2010-07-03 15:48 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:10 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 12:10 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\UC.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\RAR.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\PKZIP.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\LHA.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\ARJ.PIF
2010-06-16 14:38 . 2010-06-16 14:38 15781 ----a-w- c:\windows\system32\drivers\mdc8021x.sys
2008-12-09 15:23 . 2008-12-09 15:23 48128 --sh--r- c:\windows\system32\appconf32.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3hotkey"="S3hotkey.exe" [2002-07-03 40960]
"S3TRAY2"="S3tray2.exe" [2003-02-25 69632]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"PRISMSVR.EXE"="c:\programme\T-Com\Sinus 154 card\PRISMSVR.EXE" [2004-07-02 295001]
"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
T-Com WLAN Manager.lnk - c:\programme\T-Com\Sinus 154 card\DT11GMonitor.exe [2004-11-23 319488]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-12-15 10:18 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-08-09 12:42 133432 ----a-w- c:\programme\ICQ7.1\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-03-26 20:29 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Atari\\Locomotion\\Loco.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.03.2010 16:55 135336]
R3 TS154_CB;Sinus 154 card Driver;c:\windows\system32\drivers\TS154ICB.sys [16.06.2010 16:37 399360]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2010 21:08 136176]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [17.07.2010 14:27 113280]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [17.07.2010 14:27 100736]
.
Inhalt des "geplante Tasks" Ordners
2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-25 19:08]
2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-25 19:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\Nico\Anwendungsdaten\Mozilla\Firefox\Profiles\nsg93tf7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig
FF - component: c:\windows\system32\5005\components\AcroFF.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA} - (no file)
HKCU-Run-Dvizo - c:\windows\kCPontsr.dll
MSConfigStartUp-jamn_prz_DE - c:\programme\Solaris Dackel20\dackel20.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-14 13:35
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-14 13:41:07
ComboFix-quarantined-files.txt 2010-09-14 11:41
Vor Suchlauf: 11 Verzeichnis(se), 14.047.203.328 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 14.086.197.248 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 90C00D05AAEA52C822D361776320A879
Gruß 01_bvg |
|
14.09.2010, 14:03
| #12 |
| /// Malware-holic | Permantente Weiterleitung... start programme zubehör editor, kopiere rein: Killall:: Rootkit:: C:\WINDOWS\system32\appconf32.exe datei speichern unter, typ alle speicherort, dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript.txt auf combofix, programm startet, log posten danach öffne arbeitsplatz, c: dort rechtsklick auf qoobox und zu qoobox.rar oder zip hinzufügen, das archiv hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
|
14.09.2010, 14:45
| #13 |
| | Permantente Weiterleitung... Hallo markusg, ich habe 2 Probleme: 1.) Das hier (kommt bei jedem Neustart)  2.) Wenn ich mit Firefox bei euch im Forum einen Beitrag schreibe und auf "ANTWORTEN" klicke, stürzt FF ab. War vorher nicht so  Hier der Log: Code:
ATTFilter ComboFix 10-09-13.02 - Nico 14.09.2010 15:10:00.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.479.199 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Eigene Dateien\Downloads\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nico\Eigene Dateien\Downloads\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-14 bis 2010-09-14 ))))))))))))))))))))))))))))))
.
2010-09-13 17:08 . 2010-09-13 17:08 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2010-09-13 17:07 . 2010-09-13 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-12 17:47 . 2010-09-12 17:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3
2010-09-12 17:47 . 2010-09-12 17:47 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Resolume
2010-09-10 12:48 . 2010-09-10 12:48 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\HP
2010-08-27 06:44 . 2010-08-27 06:45 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Thunderbird
2010-08-25 17:14 . 2010-08-25 17:14 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\HaCon
2010-08-24 11:36 . 2010-08-24 11:36 -------- d-----w- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Avira
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 17:08 . 2010-09-13 17:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-13 15:44 . 2010-09-13 15:44 112 ----a-w- c:\windows\system32\srvblck2.tmp
2010-09-12 16:02 . 2010-09-12 16:01 -------- d-----w- c:\programme\VaryCam
2010-09-12 13:40 . 2010-06-06 16:55 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-05 09:56 . 2010-03-14 17:38 -------- d-----w- c:\programme\Messenger Plus! Live
2010-08-22 02:02 . 2010-08-22 02:02 69640 ----a-w- c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-16 10:58 . 2010-05-19 22:07 -------- d-----w- c:\programme\PokerStars
2010-08-15 21:11 . 2010-03-05 13:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-08-15 21:07 . 2004-08-04 12:00 81510 ----a-w- c:\windows\system32\perfc007.dat
2010-08-15 21:07 . 2004-08-04 12:00 452554 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 19:38 . 2010-04-05 18:11 -------- d-----w- c:\programme\ICQ7.1
2010-08-08 07:56 . 2010-04-08 17:19 -------- d-----w- c:\programme\Cossacks - The Art Of War
2010-08-03 15:52 . 2010-07-07 15:28 -------- d-----r- c:\programme\Skype
2010-08-03 15:50 . 2010-04-17 11:03 -------- d-----w- c:\programme\Maxis
2010-08-01 18:12 . 2010-07-29 23:02 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
2010-07-29 23:09 . 2010-07-29 23:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2010-07-29 23:07 . 2010-04-05 18:14 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-29 23:02 . 2010-07-29 23:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2010-07-29 22:21 . 2010-07-29 22:21 -------- d-----w- c:\programme\Trust
2010-07-27 08:29 . 2010-06-24 13:33 -------- d-----w- c:\programme\VBB
2010-07-23 08:10 . 2010-04-05 15:00 -------- d-----w- c:\programme\Paint.NET
2010-07-23 08:05 . 2010-04-08 17:04 -------- d-----w- c:\programme\Cossacks
2010-07-17 12:29 . 2010-07-17 12:26 -------- d-----w- c:\programme\Mobile Partner
2010-07-07 15:32 . 2010-07-07 15:32 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-07-03 15:48 . 2010-07-03 15:48 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:10 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 12:10 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\UC.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\RAR.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\PKZIP.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\LHA.PIF
2010-06-17 05:55 . 2010-06-27 22:00 545 ----a-w- c:\windows\ARJ.PIF
2010-06-16 14:38 . 2010-06-16 14:38 15781 ----a-w- c:\windows\system32\drivers\mdc8021x.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3hotkey"="S3hotkey.exe" [2002-07-03 40960]
"S3TRAY2"="S3tray2.exe" [2003-02-25 69632]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"PRISMSVR.EXE"="c:\programme\T-Com\Sinus 154 card\PRISMSVR.EXE" [2004-07-02 295001]
"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
T-Com WLAN Manager.lnk - c:\programme\T-Com\Sinus 154 card\DT11GMonitor.exe [2004-11-23 319488]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-12-15 10:18 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-08-09 12:42 133432 ----a-w- c:\programme\ICQ7.1\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-03-26 20:29 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Atari\\Locomotion\\Loco.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.03.2010 16:55 135336]
R3 TS154_CB;Sinus 154 card Driver;c:\windows\system32\drivers\TS154ICB.sys [16.06.2010 16:37 399360]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2010 21:08 136176]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [17.07.2010 14:27 113280]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [17.07.2010 14:27 100736]
.
Inhalt des "geplante Tasks" Ordners
2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-25 19:08]
2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-25 19:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\Nico\Anwendungsdaten\Mozilla\Firefox\Profiles\nsg93tf7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig
FF - component: c:\windows\system32\5005\components\AcroFF.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-14 15:21
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3344)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\S3hotkey.exe
c:\windows\system32\S3tray2.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Avira\AntiVir Desktop\avwsc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-14 15:36:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-09-14 13:36
ComboFix2.txt 2010-09-14 11:41
Vor Suchlauf: 14 Verzeichnis(se), 14.120.521.728 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 14.117.105.664 Bytes frei
- - End Of File - - 890805816163C4751E6F50FA543C7D36
Quoobox.rar hab ich in dem Upload-Channel erfolgreich hochgeladen. Danke, Gruß 01_bvg |
|
14.09.2010, 15:07
| #14 |
| /// Malware-holic | Permantente Weiterleitung... kannst du die fehlermeldung als klartext posten? neues combofix script Killall:: Folder:: C:\WINDOWS\system32\cock C:\WINDOWS\system32\xmldm ziehe cfscript wieder auf combofix, programm startet, log posten. |
|
14.09.2010, 19:05
| #15 |
| | Permantente Weiterleitung... Hallo markusg, danke für deine Hilfe. ComboFix hab ich laufen lassen, als jedoch die LOG offen war, stürzte mein PC ab bzw. fror ein (das macht er leider öfter). Jetzt die Frage: Wo hat ComboFix die LOG gespeichert? Im Ordner, wo die .exe-Datei enthalten ist, ist sie nicht. Auch im Ordner "Qoobox" ist sie nicht. Die Fehlermeldung beim Starten ist übrigens weg, allerdings ist mein PC jetzt seeehr langsam. Was kann man tun??? Gruß 01_bvg |
|
| Themen zu Permantente Weiterleitung... |
| antivir, antivir guard, avira, bho, browser, desktop, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malware, mozilla, plug-in, programm, rundll, senden, software, system, taskmanager, viel werbung, werbung, windows, windows xp |
Linear-Darstellung
