|
Plagegeister aller Art und deren Bekämpfung: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.10.2010, 19:44 | #1 | |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Hallo Liebe Helfer! Vor paar Tagen hab ich festgestellt, dass der 30Tan-Deutsche-Bank Trojaner auch auf unseren Vista-Medion-Rechner gelangt ist. Da Antivir nichts feststellen konnte, hab ich es mit Ad-Aware versucht, welcher auch 4 Quarantänen vorgenommen hat und somit die Tan-Abfrage beseitigen konnte. Nun erscheint jedoch bei jedem hochfahren des Rechners eine Meldung durch die "rundll32.exe": "Fehler beim Laden von: C:\Users\***\AppData\Local\Temp\hdwwicpl.dll Das angegebene Modul wurde nicht gefunden." Da sich diese .dll in einem Temp-Ordner befinden soll und die Meldung erst aufgetaucht ist, nachdem Ad-Aware diese File unter Quaratäne gesetzt hat, geh ich mal davon aus, dass noch Teile des Trojaners aktiv sind und wahrscheinlich die rundll32.exe aufrufen um mir diese angeblich fehlende .dll mitzuteilen. Die .dll ist "tatsächlich" vorhanden und zwar im Ordner "C:\ProgramData\Lavasoft\Ad-Aware\Quarantine". Hier mal der Inhalt dieses Ordners: Zitat:
Nun weiß ich natürlich nicht, ob die Meldung "dll fehlt" überhaupt mit dem 30Tan-Trojaner zu tun hat oder von einer anderen Infizierung stammt, in jedem Fall aber hab ich mir mal eure Standard-Anleitung vorgeknöpft und bin sehr gewissenhaft jeden Schritt genau nach Anweisung durchgegangen, um dann hier die Log-Files zu posten und euere Bewertung abzuwarten. Die Log-Files, die ich habe, werd ich auch gleich noch posten. Das Problem ist nur, dass als gmer.exe lief, ist der Rechner mit einem Bluescreen abgestürtzt. Ich hab unter Garantie während des Scans keine Arbeiten am Rechner ausgeführt, es waren sämtliche Programme beendet, inklusive Ad-Aware und Antivir und auch die Inet-Verbindung war gekappt, IAT/EAT war enthackt, es war nur C:\ ausgewählt und "Show all" war ebenfalls enthackt, genau wie in der Anweisung beschrieben. Also dass ich mich nicht an die Anweisung Wort für Wort gehalten hätte, können wir als Fehlerursache schonmal auf jeden Fall ausschließen, da bin ich mir zu 100% sicher. Um so mehr lässt mich das ganze jetzt natürlich ziemlich ratlos und mit nem unguten Gefühl zurück. Von alleine will ich dieses Programm auf jeden Fall nicht mehr starten. Ich hoffe ihr könnt uns nun aber doch noch bei der Beiseitigung des "Rest"-Problems helfen und vorallem wüsst ich gern, wann ich wieder die Treiber für die CD-Images aktivieren kann! ^^ Mit freundlichen Gruß! Stefa-N Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4770 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 07.10.2010 19:46:52 mbam-log-2010-10-07 (19-46-52).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 138562 Laufzeit: 4 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9a91dc2a-a55c-367f-5a56-dda51668dbbd} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1) Log created at 19:51 on 07/10/2010 (***) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- Also das sind die Logfiles. Wie man sehen kann, hat Malwarebytes noch einen Trojaner gefunden und "behandelt"... Ach und was mir grad noch einfällt... die "gmer.exe" muss sich doch direkt auf dem Desktop befinden oder? Ich fand das nämlich etwas uneindeutig in der Anweisung... das Entpacken mit winrar hat dazu geführt, dass ein Ordner GMER auf dem Desktop erzeugt wurde, welcher die gmer.exe enthielt, aber in der Anleitung steht "Gmer.exe muss sich am Desktop befinden." Ich vermute mal "am" soll "auf dem" heißen und daher hab ich die gmer.exe also auch auf den Desktop verschoben... ansonsten wüsste ich nicht, was "am" Desktop für eine Ortsangabe sein soll. Okay, dass war´s dann also an Infos. Ich hoffe ich hab nichts wesentliches vergessen, falls doch reiche ich die Infos natürlich sehr gerne nach! |
08.10.2010, 19:30 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du nur das mit dem einen Fund gepostet hättest!
__________________
__________________ |
08.10.2010, 23:34 | #3 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe oh es geht mir ja gar nicht primär um die ausgabe von malwarbytes. davon hab ich nur die eine und sie war auch mehr als ergänzende information gedacht. VORHER wurde der Job ja quasi von Ad-Aware gemacht, nur hab ich, wie im Betreff geschrieben, ja jetzt diese .dll-missing ansage und deshalb dacht ich, ihr könntet mir helfen den grund für diese meldung herauszufinden, da sie ja erst aufgetreten ist, nachdem der 30-tan trojaner entfernt wurde. nun wollt ich euren standard-scan durchführen, wie in der anleitung beschrieben um euch die Logfiles zu zeigen, nur ist eben dabei der rechner komplett abgestürzt mit einer bluescreenmeldung als die gmer.exe lief und das kam vorher und nachher nie vor, wurde also vom GMER ausgelöst.... sonst hätt ich alle anderen infos ja schon gepostet.
__________________aber ich kann ja mal die Logfile von Ad-Aware nachreichen: Code:
ATTFilter Logfile created: 05.10.2010 20:25:00 Ad-Aware version: 8.3.3 Extended engine: 3 Extended engine version: 3.1.2770 User performing scan: *** *********************** Definitions database information *********************** Lavasoft definition file: 150.112 Genotype definition file version: 2010/10/05 13:52:43 Extended engine definition file: 6846.0 ******************************** Scan results: ********************************* Scan profile name: Intelligenter Scan (ID: smart) Objects scanned: 24892 Objects detected: 3 Type Detected ========================== Processes.......: 1 Registry entries: 0 Hostfile entries: 0 Files...........: 2 Folders.........: 0 LSPs............: 0 Cookies.........: 0 Browser hijacks.: 0 MRU objects.....: 0 Quarantined items: Description: c:\users\***\appdata\local\temp\hdwwicpl.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0 Description: c:\program files\cheat engine\cheat engine.exe Family Name: Trojan.Win32.Delf.abt (fs) Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 35b27e767d3b3614ed701433556c702c Description: c:\users\***\desktop\desktop\microsoft office 2007\microsoft_office_2007_professional\wga-fix.exe Family Name: Win32.TrojanDownloader.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 1001 MD5: c105e8ba1daf638d1f9eb1e09a00de1f Scan and cleaning complete: Finished correctly after 219 seconds *********************************** Settings *********************************** Scan profile: ID: smart, enabled:1, value: Intelligenter Scan ID: folderstoscan, enabled:1, value: ID: useantivirus, enabled:1, value: true ID: sections, enabled:1 ID: scancriticalareas, enabled:1, value: true ID: scanrunningapps, enabled:1, value: true ID: scanregistry, enabled:1, value: true ID: scanlsp, enabled:1, value: true ID: scanads, enabled:1, value: false ID: scanhostsfile, enabled:1, value: false ID: scanmru, enabled:1, value: false ID: scanbrowserhijacks, enabled:1, value: true ID: scantrackingcookies, enabled:1, value: true ID: closebrowsers, enabled:1, value: false ID: filescanningoptions, enabled:1 ID: archives, enabled:1, value: false ID: onlyexecutables, enabled:1, value: true ID: skiplargerthan, enabled:1, value: 20480 ID: scanrootkits, enabled:1, value: true ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict ID: usespywareheuristics, enabled:1, value: true Scan global: ID: global, enabled:1 ID: addtocontextmenu, enabled:1, value: true ID: playsoundoninfection, enabled:1, value: false ID: soundfile, enabled:0, value: N/A Scheduled scan settings: <Empty> Update settings: ID: updates, enabled:1 ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall ID: schedules, enabled:1, value: true ID: updatedaily1, enabled:1, value: Daily 1 ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily2, enabled:1, value: Daily 2 ID: time, enabled:1, value: Tue Oct 05 02:23:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily3, enabled:1, value: Daily 3 ID: time, enabled:1, value: Tue Oct 05 08:23:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updatedaily4, enabled:1, value: Daily 4 ID: time, enabled:1, value: Tue Oct 05 14:23:00 2010 ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: false ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: false ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false ID: updateweekly1, enabled:1, value: Weekly ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010 ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly ID: weekdays, enabled:1 ID: monday, enabled:1, value: false ID: tuesday, enabled:1, value: true ID: wednesday, enabled:1, value: false ID: thursday, enabled:1, value: false ID: friday, enabled:1, value: true ID: saturday, enabled:1, value: false ID: sunday, enabled:1, value: false ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31 ID: scanprofile, enabled:1, value: ID: auto_deal_with_infections, enabled:1, value: false Appearance settings: ID: appearance, enabled:1 ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource ID: showtrayicon, enabled:1, value: true ID: autoentertainmentmode, enabled:1, value: true ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language Realtime protection settings: ID: realtime, enabled:1 ID: layers, enabled:1 ID: useantivirus, enabled:1, value: true ID: usespywareheuristics, enabled:1, value: true ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant ID: modules, enabled:1 ID: processprotection, enabled:0, value: true ID: onaccessprotection, enabled:0, value: false ID: registryprotection, enabled:0, value: true ID: networkprotection, enabled:0, value: true ****************************** System information ****************************** Computer name: **** Processor name: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz Processor identifier: x86 Family 6 Model 23 Stepping 10 Processor speed: ~2493MHZ Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5898, number of processors 4, processor features: [MMX,SSE,SSE2,SSE3] Physical memory available: 1797730304 bytes Physical memory total: 3486793728 bytes Virtual memory available: 1794322432 bytes Virtual memory total: 2147352576 bytes Memory load: 48% Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002) Windows startup mode: Running processes: PID: 548 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 628 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 688 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 700 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 732 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 744 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 756 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 908 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 940 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1028 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1056 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 1116 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1176 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 1212 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1260 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1376 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1392 name: C:\Windows\System32\SLsvc.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 1468 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 1492 name: C:\Windows\System32\rundll32.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1644 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 1948 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1972 name: C:\Program Files\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1984 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 916 name: C:\Program Files\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 1508 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2052 name: C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2076 name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2100 name: C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2144 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 2156 name: C:\Windows\System32\PSIService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2192 name: C:\Program Files\Cyberlink\Shared files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2260 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 2316 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2356 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 2552 name: C:\Windows\System32\WUDFHost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT PID: 3032 name: C:\Windows\System32\dwm.exe owner: *** domain: **** PID: 3068 name: C:\Windows\System32\taskeng.exe owner: *** domain: **** PID: 3092 name: C:\Windows\explorer.exe owner: *** domain: **** PID: 3328 name: C:\Program Files\Windows Defender\MSASCui.exe owner: *** domain: **** PID: 3340 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe owner: *** domain: **** PID: 3352 name: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe owner: *** domain: **** PID: 3408 name: C:\Windows\System32\rundll32.exe owner: *** domain: **** PID: 3472 name: C:\Program Files\Avira\AntiVir Desktop\avgnt.exe owner: *** domain: **** PID: 3636 name: C:\Program Files\Nero\Nero 7\InCD\InCD.exe owner: *** domain: **** PID: 3704 name: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe owner: *** domain: **** PID: 3736 name: C:\Windows\ehome\ehtray.exe owner: *** domain: **** PID: 3796 name: C:\Windows\System32\taskeng.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3804 name: C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe owner: *** domain: **** PID: 3824 name: C:\Program Files\Windows Media Player\wmpnscfg.exe owner: *** domain: **** PID: 3940 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe owner: *** domain: **** PID: 3968 name: C:\Windows\ehome\ehmsas.exe owner: *** domain: **** PID: 4020 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT PID: 1052 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3404 name: C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 3904 name: C:\Windows\System32\wuauclt.exe owner: *** domain: **** PID: 5896 name: C:\Program Files\Mozilla Firefox\firefox.exe owner: *** domain: **** PID: 5324 name: C:\Program Files\Mozilla Firefox\plugin-container.exe owner: *** domain: **** PID: 6064 name: C:\Windows\explorer.exe owner: *** domain: **** PID: 2400 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: **** PID: 2140 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: **** PID: 296 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe owner: *** domain: **** PID: 2976 name: C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 4912 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 4476 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT PID: 4168 name: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe owner: *** domain: **** PID: 4132 name: C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe owner: *** domain: **** Startup items: Name: Windows Defender imagepath: %ProgramFiles%\Windows Defender\MSASCui.exe -hide Name: IAAnotif imagepath: "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" Name: RtHDVCpl imagepath: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe Name: NvCplDaemon imagepath: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup Name: NvMediaCenter imagepath: RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit Name: avgnt imagepath: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min Name: Adobe Reader Speed Launcher imagepath: "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" Name: Adobe ARM imagepath: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Name: NeroFilterCheck imagepath: C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe Name: InCD imagepath: C:\Program Files\Nero\Nero 7\InCD\InCD.exe Name: Acrobat Assistant 8.0 imagepath: "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" Name: Name: QuickTime Task imagepath: "C:\Program Files\QuickTime\QTTask.exe" -atboottime Name: WebCheck imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED} Name: {8C7461EF-2B13-11d2-BE35-3078302C2030} imagepath: Component Categories cache daemon Name: location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk imagepath: C:\Windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe Name: location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk imagepath: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe Name: imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini Name: imagepath: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini Bootexecute items: Name: imagepath: autocheck autochk * Running services: Name: AeLookupSvc displayname: Anwendungserfahrung Name: AntiVirSchedulerService displayname: Avira AntiVir Planer Name: AntiVirService displayname: Avira AntiVir Guard Name: Appinfo displayname: Anwendungsinformationen Name: AudioEndpointBuilder displayname: Windows-Audio-Endpunkterstellung Name: Audiosrv displayname: Windows-Audio Name: BFE displayname: Basisfiltermodul Name: BITS displayname: Intelligenter Hintergrundübertragungsdienst Name: Browser displayname: Computerbrowser Name: CryptSvc displayname: Kryptografiedienste Name: DcomLaunch displayname: DCOM-Server-Prozessstart Name: Dhcp displayname: DHCP-Client Name: Dnscache displayname: DNS-Client Name: DPS displayname: Diagnoserichtliniendienst Name: EapHost displayname: Extensible Authentication-Protokoll Name: EMDMgmt displayname: ReadyBoost Name: Eventlog displayname: Windows-Ereignisprotokoll Name: EventSystem displayname: COM+-Ereignissystem Name: fdPHost displayname: Funktionssuchanbieter-Host Name: FDResPub displayname: Funktionssuche-Ressourcenveröffentlichung Name: FLEXnet Licensing Service displayname: FLEXnet Licensing Service Name: gpsvc displayname: Gruppenrichtlinienclient Name: hidserv displayname: Zugriff auf Eingabegeräte Name: IAANTMON displayname: Intel(R) Matrix Storage Event Monitor Name: IKEEXT displayname: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule Name: InCDsrv displayname: InCD Helper Name: iphlpsvc displayname: IP-Hilfsdienst Name: KeyIso displayname: CNG-Schlüsselisolation Name: KtmRm displayname: KtmRm für Distributed Transaction Coordinator Name: LanmanServer displayname: Server Name: LanmanWorkstation displayname: Arbeitsstationsdienst Name: LightScribeService displayname: LightScribeService Direct Disc Labeling Service Name: lmhosts displayname: TCP/IP-NetBIOS-Hilfsdienst Name: MMCSS displayname: Multimediaklassenplaner Name: MpsSvc displayname: Windows-Firewall Name: Netman displayname: Netzwerkverbindungen Name: netprofm displayname: Netzwerklistendienst Name: NIHardwareService displayname: NIHardwareService Name: NlaSvc displayname: NLA (Network Location Awareness) Name: NMIndexingService displayname: NMIndexingService Name: nsi displayname: Netzwerkspeicher-Schnittstellendienst Name: nvsvc displayname: NVIDIA Display Driver Service Name: PcaSvc displayname: Programmkompatibilitäts-Assistent-Dienst Name: PlugPlay displayname: Plug & Play Name: PolicyAgent displayname: IPsec-Richtlinien-Agent Name: ProfSvc displayname: Benutzerprofildienst Name: ProtexisLicensing displayname: ProtexisLicensing Name: RasMan displayname: RAS-Verbindungsverwaltung Name: RichVideo displayname: Cyberlink RichVideo Service(CRVS) Name: RpcSs displayname: Remoteprozeduraufruf (RPC) Name: SamSs displayname: Sicherheitskonto-Manager Name: Schedule displayname: Aufgabenplanung Name: seclogon displayname: Sekundäre Anmeldung Name: SENS displayname: Benachrichtigungsdienst für Systemereignisse Name: ShellHWDetection displayname: Shellhardwareerkennung Name: slsvc displayname: Softwarelizenzierung Name: Spooler displayname: Druckwarteschlange Name: SSDPSRV displayname: SSDP-Suche Name: SstpSvc displayname: SSTP-Dienst Name: stisvc displayname: Windows-Bilderfassung Name: SysMain displayname: Superfetch Name: TabletInputService displayname: Tablet PC-Eingabedienst Name: TapiSrv displayname: Telefonie Name: TermService displayname: Terminaldienste Name: Themes displayname: Designs Name: TrkWks displayname: Überwachung verteilter Verknüpfungen (Client) Name: upnphost displayname: UPnP-Gerätehost Name: UxSms displayname: Sitzungs-Manager für Desktopfenster-Manager Name: W32Time displayname: Windows-Zeitgeber Name: WdiSystemHost displayname: Diagnosesystemhost Name: WebClient displayname: WebClient Name: WerSvc displayname: Windows-Fehlerberichterstattungsdienst Name: WinDefend displayname: Windows-Defender Name: Winmgmt displayname: Windows-Verwaltungsinstrumentation Name: Wlansvc displayname: Automatische WLAN-Konfiguration Name: WMPNetworkSvc displayname: Windows Media Player-Netzwerkfreigabedienst Name: WPDBusEnum displayname: Enumeratordienst für tragbare Geräte Name: wscsvc displayname: Sicherheitscenter Name: WSearch displayname: Windows Search Name: wuauserv displayname: Windows Update Name: wudfsvc displayname: Windows Driver Foundation - Benutzermodus-Treiberframework Name: Lavasoft Ad-Aware Service displayname: Lavasoft Ad-Aware Service Vielen Dank schonmal! Geändert von seit10jahren (08.10.2010 um 23:51 Uhr) |
08.10.2010, 23:44 | #4 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exeZitat:
Ich hatte eine einfache Frage, zur Erinnerung: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
08.10.2010, 23:48 | #5 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe oh sorry. ^^ okay. also nein es gibt keine weiteren logfiles von malwarebytes. |
09.10.2010, 00:03 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Mehr wollte ich doch garnicht wissen Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ --> 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe |
09.10.2010, 01:27 | #7 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe okay, es wurden keine Objekte gefunden. hier die Logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4782 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 09.10.2010 02:16:18 mbam-log-2010-10-09 (02-16-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 299869 Laufzeit: 1 Stunde(n), 3 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
09.10.2010, 17:19 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
09.10.2010, 18:07 | #9 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe okay, hier die otl.txt Code:
ATTFilter OTL logfile created on: 09.10.2010 18:55:18 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Users\***\Desktop\MFTools Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18943) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free 7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32 E: Drive not present or media not loaded F: Drive not present or media not loaded Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT H: Drive not present or media not loaded I: Drive not present or media not loaded Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT Computer Name: **** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) PRC - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Windows\System32\PSIService.exe () PRC - C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) PRC - C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG) PRC - C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG) PRC - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG) PRC - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Adobe Systems Inc.) ========== Modules (SafeList) ========== MOD - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation) MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft) SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (NIHardwareService) -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (SandraAgentSrv) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\RpcAgentSrv.exe (SiSoftware) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation) SRV - (ProtexisLicensing) -- C:\Windows\System32\PSIService.exe () SRV - (InCDsrv) -- C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG) ========== Driver Services (SafeList) ========== DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (Lavasoft Kernexplorer) -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys () DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys (Duplex Secure Ltd.) DRV - (SANDRA) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\WNt500x86\Sandra.sys (SiSoftware) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - ({B154377D-700F-42cc-9474-23858FBDF4BD}) -- C:\Program Files\HomeCinema\PowerDVD9\000.fcl (CyberLink Corp.) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.) DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.) DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation) DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.) DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems) DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company) DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.) DRV - (e1express) Intel(R) -- C:\Windows\System32\drivers\e1e6032.sys (Intel Corporation) DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic) DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation) DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation) DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.) DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation) DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic) DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic) DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.) DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex) DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.) DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation) DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation) DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.) DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.) DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.) DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.) DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (netr28u) -- C:\Windows\System32\drivers\netr28u.sys (Ralink Technology Corp.) DRV - (incdrm) -- C:\Windows\System32\drivers\InCDRm.sys (Nero AG) DRV - (InCDPass) -- C:\Windows\System32\drivers\InCDPass.sys (Nero AG) DRV - (InCDfs) -- C:\Windows\System32\drivers\InCDfs.sys (Nero AG) DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation) DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.) DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation) DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.) DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.) DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.) DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic) DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic) DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation) DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.) DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.) DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.) DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tagesschau.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.5 FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.11.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=KlcceX6Y&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 19:23:18 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 19:23:18 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.01.21 01:46:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2009.10.17 14:04:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.07.17 11:29:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions [2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.01.21 02:10:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}-trash [2010.01.21 01:42:47 | 000,000,000 | ---D | M] (Flashblock) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} [2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.04.16 11:27:00 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2010.04.16 11:27:15 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\staged-xpis [2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions [2010.04.27 14:27:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.04.13 15:48:23 | 000,002,593 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\google-maps-deutschland.xml [2010.04.13 15:48:23 | 000,002,087 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\youtube---videos.xml [2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions [2010.05.21 16:29:35 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.04.09 09:57:33 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.04.09 09:57:33 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.04.09 09:57:33 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.04.09 09:57:33 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.04.09 09:57:33 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation) O4 - HKLM..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG) O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\Windows\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.10.07 19:54:53 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Gmer [2010.10.07 19:39:18 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT [2010.10.07 19:37:41 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT [2010.10.07 19:30:49 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2010.10.07 19:30:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.10.07 19:30:27 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.10.07 19:28:04 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\MFTools [2010.10.05 21:25:06 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys [2010.10.05 20:05:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Sunbelt Software [2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} [2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft [2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\Program Files\Lavasoft [2010.09.29 10:18:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso [2010.09.21 22:22:50 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Benjamin Backup [2010.09.20 14:36:42 | 000,454,656 | ---- | C] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe [2010.09.16 11:29:58 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Schadennsbilder [2010.09.15 15:42:02 | 000,317,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MP4SDECD.DLL [3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.10.09 18:55:33 | 003,932,160 | -HS- | M] () -- C:\Users\***\ntuser.dat [2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2010.10.09 11:39:49 | 001,418,806 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.10.09 11:39:49 | 000,618,204 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.10.09 11:39:49 | 000,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.10.09 11:39:49 | 000,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.10.09 11:39:49 | 000,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.10.09 11:36:21 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job [2010.10.09 11:35:35 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.10.09 11:35:33 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.10.09 11:35:31 | 3487,748,096 | -HS- | M] () -- C:\hiberfil.sys [2010.10.09 04:10:56 | 000,524,288 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms [2010.10.09 04:10:56 | 000,065,536 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf [2010.10.09 04:10:53 | 002,885,089 | -H-- | M] () -- C:\Users\***\AppData\Local\IconCache.db [2010.10.09 03:35:39 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{993A7D95-3B21-40D1-9D8F-510C7E177EF8}.job [2010.10.07 20:00:43 | 317,782,556 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.10.07 19:51:55 | 000,000,020 | ---- | M] () -- C:\Users\***\defogger_reenable [2010.10.07 19:37:42 | 000,000,737 | ---- | M] () -- C:\Users\***\Desktop\NTREGOPT.lnk [2010.10.07 19:37:42 | 000,000,718 | ---- | M] () -- C:\Users\***\Desktop\ERUNT.lnk [2010.10.07 19:30:30 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.07 19:28:48 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\defogger.exe [2010.10.07 19:28:47 | 000,284,915 | ---- | M] () -- C:\Users\***\Desktop\Gmer.zip [2010.10.07 16:16:36 | 000,388,977 | ---- | M] () -- C:\Users\***\Desktop\Load.exe [2010.10.05 21:25:05 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys [2010.10.05 20:04:25 | 000,001,019 | ---- | M] () -- C:\Users\Public\Desktop\Ad-Aware.lnk [2010.10.03 05:21:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Local\PUTTY.RND [2010.09.23 19:49:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.09.23 19:24:06 | 000,000,583 | ---- | M] () -- C:\Users\***\Desktop\reihe.dat [2010.09.23 19:24:06 | 000,000,152 | ---- | M] () -- C:\Users\***\Desktop\funktion.dat [2010.09.23 18:21:21 | 002,597,659 | ---- | M] () -- C:\Users\***\Desktop\winscp428.zip [2010.09.20 14:36:43 | 000,454,656 | ---- | M] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe [2010.09.16 20:18:51 | 019,890,986 | ---- | M] () -- C:\Users\***\Desktop\Schadennsbilder.rar [2010.09.16 14:30:17 | 000,405,156 | ---- | M] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg [2010.09.16 13:06:32 | 000,232,160 | ---- | M] () -- C:\Users\***\Desktop\BILD2462.jpg [2010.09.16 12:46:41 | 000,053,090 | ---- | M] () -- C:\Users\***\Desktop\P1050166~1-1.jpg [2010.09.16 12:46:38 | 000,086,338 | ---- | M] () -- C:\Users\***\Desktop\P1050167~1.jpg [2010.09.16 12:46:35 | 000,130,471 | ---- | M] () -- C:\Users\***\Desktop\P1050168~1.jpg [2010.09.16 12:46:31 | 000,140,087 | ---- | M] () -- C:\Users\***\Desktop\P1050165~1.jpg [2010.09.14 13:11:43 | 000,000,056 | -H-- | M] () -- C:\ProgramData\ezsidmv.dat [3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.09 11:36:21 | 000,000,370 | ---- | C] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job [2010.10.07 19:54:53 | 000,293,376 | ---- | C] () -- C:\Users\***\Desktop\gmer.exe [2010.10.07 19:51:41 | 000,000,020 | ---- | C] () -- C:\Users\***\defogger_reenable [2010.10.07 19:37:42 | 000,000,737 | ---- | C] () -- C:\Users\***\Desktop\NTREGOPT.lnk [2010.10.07 19:37:42 | 000,000,718 | ---- | C] () -- C:\Users\***\Desktop\ERUNT.lnk [2010.10.07 19:30:30 | 000,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.07 19:28:18 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\defogger.exe [2010.10.07 19:28:12 | 000,284,915 | ---- | C] () -- C:\Users\***\Desktop\Gmer.zip [2010.10.07 16:16:29 | 000,388,977 | ---- | C] () -- C:\Users\***\Desktop\Load.exe [2010.10.05 20:28:45 | 000,015,880 | ---- | C] () -- C:\Windows\System32\lsdelete.exe [2010.10.05 20:04:25 | 000,001,019 | ---- | C] () -- C:\Users\Public\Desktop\Ad-Aware.lnk [2010.09.23 18:25:48 | 000,000,583 | ---- | C] () -- C:\Users\***\Desktop\reihe.dat [2010.09.23 18:25:47 | 000,000,152 | ---- | C] () -- C:\Users\***\Desktop\funktion.dat [2010.09.23 18:21:19 | 002,597,659 | ---- | C] () -- C:\Users\***\Desktop\winscp428.zip [2010.09.16 20:18:39 | 019,890,986 | ---- | C] () -- C:\Users\***\Desktop\Schadennsbilder.rar [2010.09.16 14:30:13 | 000,405,156 | ---- | C] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg [2010.09.16 12:46:41 | 000,053,090 | ---- | C] () -- C:\Users\***\Desktop\P1050166~1-1.jpg [2010.09.16 12:46:38 | 000,086,338 | ---- | C] () -- C:\Users\***\Desktop\P1050167~1.jpg [2010.09.16 12:46:31 | 000,140,087 | ---- | C] () -- C:\Users\***\Desktop\P1050165~1.jpg [2010.09.16 11:35:26 | 003,502,353 | ---- | C] () -- C:\Users\***\Desktop\P1100012.JPG [2010.09.16 11:35:01 | 003,029,766 | ---- | C] () -- C:\Users\***\Desktop\P1100086.JPG [2010.09.16 11:35:01 | 002,686,579 | ---- | C] () -- C:\Users\***\Desktop\P1100087.JPG [2010.09.14 14:41:37 | 000,232,160 | ---- | C] () -- C:\Users\***\Desktop\BILD2462.jpg [2010.09.14 14:40:59 | 000,130,471 | ---- | C] () -- C:\Users\***\Desktop\P1050168~1.jpg [2010.07.23 16:43:57 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll [2010.07.21 16:20:22 | 000,005,916 | ---- | C] () -- C:\Windows\CDex.INI [2010.07.15 11:23:03 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.07.03 19:22:35 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Local\PUTTY.RND [2010.06.11 17:08:11 | 000,001,356 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2010.05.07 13:52:20 | 001,970,176 | ---- | C] () -- C:\Windows\System32\d3dx9.dll [2010.04.23 11:14:29 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2010.01.28 21:48:55 | 002,463,976 | ---- | C] () -- C:\Windows\System32\NPSWF32.dll [2009.10.28 22:56:25 | 000,001,065 | ---- | C] () -- C:\Windows\winamp.ini [2009.10.20 01:01:29 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.10.16 19:06:27 | 000,030,208 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.10.16 19:06:24 | 000,003,764 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys [2009.10.16 19:06:24 | 000,000,008 | RHS- | C] () -- C:\Windows\System32\3568E54D1D.sys [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini < End of report > und die scan.txt Code:
ATTFilter netsvcs msconfig drivers32 /all %SYSTEMDRIVE%\*.* %systemroot%\system32\*.wt %systemroot%\system32\*.ruy %systemroot%\Fonts\*.com %systemroot%\Fonts\*.dll %systemroot%\Fonts\*.ini %systemroot%\Fonts\*.ini2 %systemroot%\system32\spool\prtprocs\w32x86\*.* %systemroot%\REPAIR\*.bak1 %systemroot%\REPAIR\*.ini %systemroot%\system32\*.jpg %systemroot%\*.scr %systemroot%\*._sy %APPDATA%\Adobe\Update\*.* %ALLUSERSPROFILE%\Favorites\*.* %APPDATA%\Microsoft\*.* %PROGRAMFILES%\*.* %APPDATA%\Update\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\ws2help.dll /md5 /md5start explorer.exe winlogon.exe wininit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs |
09.10.2010, 19:26 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Was soll das mit der scan.txt werden? Davon war garnicht die Rede!
__________________ Logfiles bitte immer in CODE-Tags posten |
09.10.2010, 19:36 | #11 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe achje... ich hab von zwei logfiles gelesen und dachte die scan.txt wär die zweite... hab grad noch die Extra.txt "entdeckt" Code:
ATTFilter OTL Extras logfile created on: 09.10.2010 18:55:18 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Users\***\Desktop\MFTools Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18943) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free 7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32 E: Drive not present or media not loaded F: Drive not present or media not loaded Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT H: Drive not present or media not loaded I: Drive not present or media not loaded Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT Computer Name: **** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~1\MI1933~1\Office12\ONENOTE.EXE "%L" File not found Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\Winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Program Files\Winamp\Winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 "VistaSp1" = Reg Error: Unknown registry data type -- File not found "VistaSp2" = Reg Error: Unknown registry data type -- File not found [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{04D66B3B-22E1-4FA3-8839-8D27DF80553C}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{0C437550-A904-4FEA-BEC4-D39F23824C86}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{10D66977-7CE7-4E6B-A6A8-682F34332DFF}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe | "{1CB0B733-25DD-4719-9998-B9C5508695F3}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{1CBD34E9-6CC2-4346-A890-8C02C6FD9871}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe | "{56696065-60CE-4100-BBC1-68EBE5C1C3B0}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | "{6261585E-92E8-4366-86FD-CA211227FA91}" = lport=137 | protocol=17 | dir=in | app=system | "{64457C97-F45D-4635-A9F7-243780A072A3}" = rport=138 | protocol=17 | dir=out | app=system | "{6BC2654F-A4B8-405C-AD2B-A801992A259B}" = rport=10243 | protocol=6 | dir=out | app=system | "{73B26744-2849-4EA8-A976-E0644FD2532C}" = rport=139 | protocol=6 | dir=out | app=system | "{743F7AA3-8736-4086-806B-8925988FF0F6}" = lport=139 | protocol=6 | dir=in | app=system | "{771DBD7C-931E-46BF-8AE8-8B32DC5C285C}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{7B174D3C-E48A-47D6-8ADF-E9E3AEFD9339}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{7E967BCD-392A-4449-8BA0-2DAFC1ABBD77}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{891E1AA4-61C8-4A62-8D00-842D526814B6}" = lport=445 | protocol=6 | dir=in | app=system | "{A5975A33-6450-4707-A69A-290E7345FA8A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{A6002840-71A0-46D5-A35A-1CF2F61DAD92}" = lport=138 | protocol=17 | dir=in | app=system | "{B3AE155E-A14D-456A-9B8C-3F035CB00D9E}" = rport=445 | protocol=6 | dir=out | app=system | "{BBA01373-DB09-444B-B5B7-148DEC16D5CE}" = lport=2869 | protocol=6 | dir=in | app=system | "{C3927D80-FFD0-4A87-B705-DF4EEED25D90}" = lport=2869 | protocol=6 | dir=in | app=system | "{DE4BD63F-EB82-4BCC-95B6-DF803F582D05}" = rport=137 | protocol=17 | dir=out | app=system | "{E2F54DF3-2176-4BE0-B3ED-F43BF1A62A0A}" = lport=10243 | protocol=6 | dir=in | app=system | "{FC88B6FA-5440-4E7F-8ADC-3A10DFBC395F}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{00D9D911-CDD8-48E5-B889-CD3F1AA363FB}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{02B1A3A3-E6F9-4601-A3B3-B8CEE05BE901}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd cinema\powerdvdcinema.exe | "{0E28489C-8760-47EF-8A62-911B7CB1C593}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{16E75387-1558-4B82-9646-E3CC35AA5668}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe | "{19D185C0-516C-4AB6-8267-B412AF7EDA0B}" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe | "{1F576782-9F8D-49A5-A653-29C1219DABB8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{2E2BBE21-802E-40DC-AE13-D9C094F5ADA8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{392DCDFF-7D41-44BC-80B4-7B6C2513BA29}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe | "{41FA98AA-FF9B-40F8-BCAC-0D49DEED46BA}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{42C2CF4F-0CED-497F-93E1-3CE4734AA8AE}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe | "{44270549-7741-4D5D-B3C1-5E7FB6F700F8}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe | "{44E3F3DA-D2F3-46F4-954A-4CD56F505E7E}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe | "{490456ED-EB03-470D-9C97-012DA0770BDC}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe | "{4974A401-2913-4506-A192-C6AD02CF9B54}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{4F3FEE38-C2D0-4D30-8B9F-9EE0AD0BE454}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe | "{54C8060C-5DBE-415A-BB2A-99EE0B1852B9}" = protocol=6 | dir=out | app=system | "{5B46585A-C0E7-4CCB-82FE-0B402D6E2D8A}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe | "{5C5D76A8-3840-4349-97B5-C5C189D9C722}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd9.exe | "{6005E31F-0DF9-453F-894F-FE032FF081E2}" = dir=in | app=c:\program files\skype\phone\skype.exe | "{7AE88E64-D590-42B0-B78B-08B53000C33C}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe | "{82F28977-1B88-4545-B26F-D74F19B5107E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{840B1A12-A2F0-451F-8394-6F43BADC8693}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{872BFDBD-73DE-464E-9714-107F622BAF67}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe | "{8D80EAC8-D8E8-425F-AD11-CB86D9E324F6}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{92DF2F87-B549-4D25-917F-180FA57645E9}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{BC5E5F93-9952-4FC2-9AC0-D54FA76D9DEA}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe | "{BDA30BF2-C41B-43AB-98ED-F5E0CEBCFB9F}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | "{C49F58AC-3143-4F50-9C47-73E9923F78B8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{CAC1A2DB-443E-4BB2-9FC9-A7E99052CE13}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{D2FD3772-8B0B-4338-93AA-50DC22EB9C2A}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{DB439CDC-98C3-4300-BD7B-B9FA85D8379F}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | "{DD8699CF-D07C-4A7E-B272-CC698FF89D20}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe | "{E42FAF10-3950-45BA-9805-051C42F9A79F}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe | "{E9E7F8AE-27AB-4189-AB03-6E5695363BB1}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{EBF14ACB-6D85-4591-B848-181E16808712}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{EF16F251-8A11-416B-ADFE-7506CDBEF785}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe | "{EF726F34-CDC1-4528-9036-7F94BFE6B67A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{F3E305A9-FFC5-48AE-95EF-5DC9A7D1DDE6}" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe | "TCP Query User{039106B9-D5B6-48A0-A1AF-3EEC50C17A3E}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | "TCP Query User{12540095-5F8D-49A3-A57F-EFC98CCD7FF3}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe | "TCP Query User{208CDD6D-75C9-408C-96A8-9B34A2A8126C}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe | "TCP Query User{21A6E2F7-ACED-473C-A9ED-74F9DE4AF0A5}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe | "TCP Query User{719FD123-A4E0-462A-A771-7863CC8B234D}C:\program files\counter-strike 1.6\hl.exe" = protocol=6 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe | "TCP Query User{82C0022F-642A-4B8A-B59E-235D8C0412CB}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe | "TCP Query User{84BD36FA-EB20-4B51-8872-FFCA3C8B5031}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe | "TCP Query User{8ED46D80-AB2C-449C-8582-FD0FF5C87E5E}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe | "TCP Query User{9973ED3E-EADB-460B-AD6B-9D4A8ACB0FBE}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe | "TCP Query User{A06A008E-9D54-476D-ADA6-CB9663D3E65A}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe | "TCP Query User{A9D8B6B1-C479-487A-AA1F-7BE59AC19B63}C:\program files\vuze\azureus.exe" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe | "TCP Query User{ED884EB5-74E8-4378-B4A5-32BBB52990E9}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | "UDP Query User{01FF2A5A-32BD-4BE0-9DF1-0D2D9BDFE53B}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe | "UDP Query User{25BA1FBA-FB0E-4A5E-A410-1C6A793ED50C}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe | "UDP Query User{281454E2-9FEF-49FB-88A5-BF6AC8609BB8}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe | "UDP Query User{2BCADCB9-224E-47E6-A0B1-A936E6BE6C17}C:\program files\counter-strike 1.6\hl.exe" = protocol=17 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe | "UDP Query User{51E47603-72C4-4D06-ACC6-DF7D81D2425D}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe | "UDP Query User{52151909-4805-4527-958B-D3A7574CFF2B}C:\program files\vuze\azureus.exe" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe | "UDP Query User{6B1CEF91-AC99-4436-91EF-D5030AB31C68}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe | "UDP Query User{6B870403-D94B-425A-BD0F-7481A13C7D6C}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe | "UDP Query User{854142A6-9FC1-4013-873B-14851C70EB69}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe | "UDP Query User{B25C744B-F5BF-40EF-9824-EA959E3AD680}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe | "UDP Query User{BF514C1C-8B65-4AD2-8C9E-FFD0E1B502AD}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | "UDP Query User{FE6FAEDF-172E-4113-A45F-8526FABD6A60}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "_{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3 "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{0886900B-B2F3-452C-B580-60F1253F7F80}" = Native Instruments Controller Editor "{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3600_series" = Canon iP3600 series Printer Driver "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4200" = Canon iP4200 "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series" = Canon iP4500 series "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series" = Canon iP4700 series Printer Driver "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13 "{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works "{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go "{42F7C377-2A1F-44FB-A17F-053C29E81031}" = Nero 7 Ultra Edition "{4A9849CA-E11C-4F24-8BB1-97C717A1C898}" = LightScribe System Software "{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update "{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail "{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{7655E113-C306-11D9-A373-0050BAE317E1}" = MCE Software Encoder 1.1 "{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762 "{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0 "{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer "{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call "{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger "{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync "{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer "{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager "{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007 "{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German) "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}" = DE "{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9 "{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support "{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch "{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9 "{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3 "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0 "{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer "{BAC80EF3-E106-4AEA-8C57-F217F9BC7358}" = Microsoft SQL Server 2005 Compact Edition [DEU] "{C3113E55-7BCB-4de3-8EBF-60E6CE6B2296}_is1" = SiSoftware Sandra Lite 2010.SP2 "{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow "{DD1865F0-AD73-40FB-B23E-1822E02396FF}" = NVIDIA PhysX "{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware "{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials "{E1C256F5-58C6-44E9-939A-E1189C8126E2}" = Google SketchUp Pro 7 "{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = CyberLink PowerDVD Copy "{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0 "{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime "{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU] "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F2835483-37F2-4123-B4FE-0E77D58447F2}" = Far Cry 2 "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager "{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform "8461-7759-5462-8226" = Vuze "Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites "Ad-Aware" = Ad-Aware "Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8 Professional - English, Français, Deutsch "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Canon iP4700 series Benutzerregistrierung" = Canon iP4700 series Benutzerregistrierung "Cheat Engine 5.6_is1" = Cheat Engine 5.6 "Counter-Strike 1.6_is1" = Counter-Strike 1.6 "DVD Shrink_is1" = DVD Shrink 3.2 "EPSON Scanner" = EPSON Scan "ERUNT_is1" = ERUNT 1.1j "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7 "HOMESTUDENTR" = Microsoft Office Home and Student 2007 "InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go "InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9 "InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer "InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint "InstallShield_{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MediaNavigation.CDLabelPrint" = CD-LabelPrint "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "MozBackup" = MozBackup 1.4.9 "Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "Native Instruments Controller Editor" = Native Instruments Controller Editor "Native Instruments Service Center" = Native Instruments Service Center "NVIDIA Drivers" = NVIDIA Drivers "pdfsam" = pdfsam "PKR" = PKR "StarCraft II" = StarCraft II "Timers" = Timers "Uninstall_is1" = Uninstall 1.0.0.1 "VectorWorks Architektur 2008 SP1 R1" = VectorWorks Architektur 2008 SP1 R1 "VLC media player" = VLC media player 1.0.2 "Winamp" = Winamp (remove only) "WinLiveSuite_Wave3" = Windows Live Essentials "WinRAR archiver" = WinRAR archiver "winscp3_is1" = WinSCP 4.2.7 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Facebook Plug-In" = Facebook Plug-In "Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10) ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 07.10.2010 09:43:32 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 09:45:17 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 12:55:37 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 13:35:46 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 13:49:59 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 13:53:50 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 07.10.2010 14:01:10 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 08.10.2010 07:03:44 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 08.10.2010 17:55:30 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = Error - 09.10.2010 05:35:43 | Computer Name = **** | Source = WinMgmt | ID = 10 Description = [ System Events ] Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = DCOM | ID = 10005 Description = Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7009 Description = Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7000 Description = Error - 25.08.2010 04:22:09 | Computer Name = **** | Source = Service Control Manager | ID = 7011 Description = Error - 25.08.2010 09:59:02 | Computer Name = **** | Source = bowser | ID = 8003 Description = Error - 26.08.2010 07:33:09 | Computer Name = **** | Source = Print | ID = 6161 Description = Das Dokument Aktionshof Renderworkswm.jpg im Besitz von *** konnte nicht auf dem Drucker Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei in Bytes: 25964616. Anzahl der gedruckten Bytes: 25964504. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom Druckprozessor zurückgegebener Win32-Fehlercode: 32. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Error - 26.08.2010 08:42:13 | Computer Name = **** | Source = Print | ID = 6161 Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei in Bytes: 6503584. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom Druckprozessor zurückgegebener Win32-Fehlercode: 0. Der Vorgang wurde erfolgreich beendet. Error - 26.08.2010 08:43:14 | Computer Name = **** | Source = Print | ID = 6161 Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei in Bytes: 7471104. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom Druckprozessor zurückgegebener Win32-Fehlercode: 259. Es sind keine Daten mehr verfügbar. Error - 28.08.2010 16:44:12 | Computer Name = **** | Source = Service Control Manager | ID = 7011 Description = Error - 31.08.2010 14:40:39 | Computer Name = **** | Source = Service Control Manager | ID = 7034 Description = < End of report > |
09.10.2010, 20:52 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Kein problem, hast ja nichts kaputtgemacht Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe [2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.10.2010, 01:58 | #13 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe YEAH die Meldung is weg! Ihr seid der Hammer hier die logfile: Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\chkdlace deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found. File b00ijwpu.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found. File b00ijwpu.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found. File lcw.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found. File lcw.exe not found. C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} folder moved successfully. Folder C:\Users\***\AppData\Roaming\Yvew\ not found. Folder C:\Users\***\AppData\Roaming\Uhso\ not found. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: *** ->Temp folder emptied: 186318 bytes ->Temporary Internet Files folder emptied: 228972 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 82243803 bytes ->Flash cache emptied: 3599 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 824 bytes RecycleBin emptied: 62758 bytes Total Files Cleaned = 79,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10102010_025141 Files\Folders moved on Reboot... Registry entries deleted on Reboot... gibts noch was zu tun? |
10.10.2010, 19:16 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
11.10.2010, 23:54 | #15 |
| 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe die zip.datei ist hochgeladen |
Themen zu 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe |
100%, ad-aware, aktiv, antivir, aufrufe, autostart, bluescreen, dateien, desktop, dll, explorer, fehler, festgestellt, file, local\temp, log-files, malwarebytes, microsoft, modul, problem, programdata, programme, ratlos, required, rojaner gefunden, rundll, rundll32.exe, software, temp, temp-ordner, treiber, trojan.zbotr.gen, trojaner, trojaner gefunden |